清华大学电子邮件系统使用敏讯公司的EQManager邮件网关进行垃圾邮件过滤。该邮件网关于2006年12月开始投入运行。为提高系统的可用性,同时也起到负载均衡的作用,我们共投入了两台IBM X346服务器进行垃圾邮件过滤。每台服务器配有两颗Intel Xeon 2.8G CPU,4G内存,两块73G 硬盘。
对于隔离的垃圾邮件,邮件网关系统会为用户保留15天。系统每天都会向用户发送邮件隔离列表,让用户可以查看这些被隔离的邮件。对于误判的邮件,用户可以通过点击相应链接将被隔离的邮件放行。
基本情况
邮件网关投入使用初期,系统运行很稳定,绝大部分垃圾邮件都能被网关拦截下来。由于系统会定时发送隔离列表,用户可以自行放行被隔离的邮件。从用户的反馈来看,邮件网关的误判率还是比较低的。总体来看,我们平时的日常维护工作量非常小,偶尔会有个别用户因与国外某些邮件域有重要邮件往来,要求将其列入白名单,避免被网关拦截,导致无法即时收到。
然而大约在2007年11月,邮件网关系统开始频繁出现大量邮件长时间滞留在队列中的现象,经常需要人工干预,暂停服务,才能将滞留邮件处理完。邮件滞留的状况多发生在发送隔离列表的服务器上,而且在时间上也主要发生在发送隔离列表的期间。我们对发送隔离列表的设置进行了简单更改后,该现象有所改善但不是很明显。
后来,我们对统计数据进行了仔细分析,发现每日处理的邮件数量比以前增长了很多,垃圾邮件数量增长也非常之多。垃圾邮件的数量增长反映出垃圾邮件日益猖獗。在邮件网关中,我们最初采用的策略是“接收所有邮件,包括确认的垃圾邮件”。然而垃圾邮件的数量猛增,导致现有的系统资源处理不过来。于是我们修改策略为“接收所有的邮件,拒收确认的垃圾邮件”,以节省系统资源。这里所说的“确认的垃圾邮件”是指通过用户的发送行为确认某个用户不是正常的Mail Transfer Agent,对于这样的用户,后续的邮件发送请求可以直接拒绝。
2008年3月,我们将默认策略改为了拒收“确认的垃圾邮件”。策略修改后,网关运行情况得到了明显改善。至今,邮件网关再没有出现过一次邮件滞留的情况,系统资源使用情况也降到了一个合理的范围。
运行数据分析
在这里,我们一共选取了三个较有代表性月份的数据。以下各图的结果是将两个网关的数据进行合并后处理得到的。
敏讯邮件网关系统主要通过IPS模块(地址黑名单)、行为模式识别、内容过滤三个模块对邮件发送请求进行拦截处理。邮件发送请求,一旦通过这三个模块的处理,邮件将会被正常接收,并投递到邮件系统前端服务器上。
图1~3中的请求总数为邮件网关实际收到的邮件发送请求总数,实际收信未被拦截的邮件发送请求。
图1 2007年4月邮件情况
图2 2007年12月邮件情况
图3 2008年4月邮件情况
2007年4月使用的策略是“接收所有邮件,包括确认的垃圾邮件”,当时网关运行很稳定。
2007年12月使用的策略是“接收所有邮件,包括确认的垃圾邮件”,网关运行已经变得相当不稳定。可以看出,无论是请求总数还是垃圾邮件请求数量,与2007年4月相比,都增长了一倍左右。
2008年4月策略已经调整为“接收所有邮件,拒收确认的垃圾邮件”,网关运行很稳定。从图中可以看出,邮件请求数量以及垃圾邮件请求数量,与2007年12月相比,又有明显的增长。
从图1~3中明显可以看出,垃圾邮件数量一直快速增长,而正常收下来的邮件变化则不是很明显。另外就是行为模式识别在垃圾邮件判定方面起到了很大的作用。
对比一下这三个月当中垃圾邮件请求占请求总数的比例,可以更明显地看出垃圾邮件的增长势头,如图4。
图4 3个月的邮件情况对比
从图4中可以明显看出,2007年4月到2007年12月,垃圾邮件比例明显提高,说明2007年垃圾邮件泛滥程度非常严重。而2007年12月至2008年4月,垃圾邮件比例有所增长,但势头基本放缓了。由于2008年4月邮件网关已经采取了新的策略,垃圾邮件比例增长趋势放缓也有可能是使用新策略造成的,其背后的真正原因还需要更多的运行数据,进行更进一步的统计分析才能得出。
从长期的运行情况来看,敏讯邮件网关可以满足清华大学电子邮件系统垃圾邮件过滤的需求,减少垃圾邮件给校园网用户带来的困扰。在垃圾邮件数量猛增的情况下,邮件网关在运行上虽然出现了处理能力不足的情况,但经过我们对运行数据的认真分析,最终确认是采用的策略不当导致的。策略修改后,网关运行情况得到明显改善。
《中国教育网络》2008年7月刊
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。