清华大学电子邮件系统使用敏讯公司的EQManager邮件网关进行垃圾邮件过滤。该邮件网关于2006年12月开始投入运行。为提高系统的可用性，同时也起到负载均衡的作用，我们共投入了两台IBM X346服务器进行垃圾邮件过滤。每台服务器配有两颗Intel Xeon 2.8G CPU，4G内存，两块73G 硬盘。

　　对于隔离的垃圾邮件，邮件网关系统会为用户保留15天。系统每天都会向用户发送邮件隔离列表，让用户可以查看这些被隔离的邮件。对于误判的邮件，用户可以通过点击相应链接将被隔离的邮件放行。

　　基本情况

　　邮件网关投入使用初期，系统运行很稳定，绝大部分垃圾邮件都能被网关拦截下来。由于系统会定时发送隔离列表，用户可以自行放行被隔离的邮件。从用户的反馈来看，邮件网关的误判率还是比较低的。总体来看，我们平时的日常维护工作量非常小，偶尔会有个别用户因与国外某些邮件域有重要邮件往来，要求将其列入白名单，避免被网关拦截，导致无法即时收到。

　　然而大约在2007年11月，邮件网关系统开始频繁出现大量邮件长时间滞留在队列中的现象，经常需要人工干预，暂停服务，才能将滞留邮件处理完。邮件滞留的状况多发生在发送隔离列表的服务器上，而且在时间上也主要发生在发送隔离列表的期间。我们对发送隔离列表的设置进行了简单更改后，该现象有所改善但不是很明显。

　　后来，我们对统计数据进行了仔细分析，发现每日处理的邮件数量比以前增长了很多，垃圾邮件数量增长也非常之多。垃圾邮件的数量增长反映出垃圾邮件日益猖獗。在邮件网关中，我们最初采用的策略是“接收所有邮件，包括确认的垃圾邮件”。然而垃圾邮件的数量猛增，导致现有的系统资源处理不过来。于是我们修改策略为“接收所有的邮件，拒收确认的垃圾邮件”，以节省系统资源。这里所说的“确认的垃圾邮件”是指通过用户的发送行为确认某个用户不是正常的Mail Transfer Agent，对于这样的用户，后续的邮件发送请求可以直接拒绝。

　　2008年3月，我们将默认策略改为了拒收“确认的垃圾邮件”。策略修改后，网关运行情况得到了明显改善。至今，邮件网关再没有出现过一次邮件滞留的情况，系统资源使用情况也降到了一个合理的范围。

　　运行数据分析

　　在这里，我们一共选取了三个较有代表性月份的数据。以下各图的结果是将两个网关的数据进行合并后处理得到的。

　　敏讯邮件网关系统主要通过IPS模块(地址黑名单)、行为模式识别、内容过滤三个模块对邮件发送请求进行拦截处理。邮件发送请求，一旦通过这三个模块的处理，邮件将会被正常接收，并投递到邮件系统前端服务器上。

　　图1～3中的请求总数为邮件网关实际收到的邮件发送请求总数，实际收信未被拦截的邮件发送请求。

图1 2007年4月邮件情况

图2 2007年12月邮件情况

图3 2008年4月邮件情况

　　2007年4月使用的策略是“接收所有邮件，包括确认的垃圾邮件”，当时网关运行很稳定。
　　2007年12月使用的策略是“接收所有邮件，包括确认的垃圾邮件”，网关运行已经变得相当不稳定。可以看出，无论是请求总数还是垃圾邮件请求数量，与2007年4月相比，都增长了一倍左右。
　　2008年4月策略已经调整为“接收所有邮件，拒收确认的垃圾邮件”，网关运行很稳定。从图中可以看出，邮件请求数量以及垃圾邮件请求数量，与2007年12月相比，又有明显的增长。

　　从图1～3中明显可以看出，垃圾邮件数量一直快速增长，而正常收下来的邮件变化则不是很明显。另外就是行为模式识别在垃圾邮件判定方面起到了很大的作用。

　　对比一下这三个月当中垃圾邮件请求占请求总数的比例，可以更明显地看出垃圾邮件的增长势头，如图4。

图4 3个月的邮件情况对比

　　从图4中可以明显看出，2007年4月到2007年12月，垃圾邮件比例明显提高，说明2007年垃圾邮件泛滥程度非常严重。而2007年12月至2008年4月，垃圾邮件比例有所增长，但势头基本放缓了。由于2008年4月邮件网关已经采取了新的策略，垃圾邮件比例增长趋势放缓也有可能是使用新策略造成的，其背后的真正原因还需要更多的运行数据，进行更进一步的统计分析才能得出。

　　从长期的运行情况来看，敏讯邮件网关可以满足清华大学电子邮件系统垃圾邮件过滤的需求，减少垃圾邮件给校园网用户带来的困扰。在垃圾邮件数量猛增的情况下，邮件网关在运行上虽然出现了处理能力不足的情况，但经过我们对运行数据的认真分析，最终确认是采用的策略不当导致的。策略修改后，网关运行情况得到明显改善。

　　《中国教育网络》2008年7月刊