6款反垃圾邮件网关产品评测

邮件反击战
——6款反垃圾邮件网关产品评测
计算机世界评测实验室秦钢李韬
两三年前，还常听到有新网民抱怨“最近怎么没人给我发邮件？”如今，这批人多半已经在为满邮箱的垃圾邮件发愁了。

但更为发愁的却是企业的CIO和CSO们，由于垃圾邮件的泛滥，从员工到老板都在不断地向他们反映正常的信件收不到，而收到的却都是垃圾邮件。

并且企业的邮件服务器也经常由于垃圾邮件本身或垃圾邮件带来的病毒和安全攻击而瘫痪，对于非常依赖邮件的现代企业，这严重影响了它们业务的顺利进行。

如何采用技术手段来阻挡垃圾邮件，允许正常邮件通过，成为企业用户们普遍关心的问题。

为此，计算机世界评测实验室组织了我国媒体的第一次反垃圾邮件网关产品大型评测，旨在帮助广大用户了解市场的主流产品和技术，并加以有效地应用。

保护最后的端到端应用
从诞生开始，电子邮件就是一种端到端的应用，简言之，是一种从用户A的发件箱到用户B的收件箱，反之亦然的应用。

电子邮件系统的简单结构和路由特性使其能够灵活地适应于各种网络，但同时也给垃圾邮件制造者们以可乘之机。

事实上，虽然早期的Internet应用中相当一部分具有端到端的特性，但随着网络发展，它们接二连三地成为安全性的牺牲品，被防火墙/NAT设备阻断。

今天，E-Mail已经成为仅存的端到端的主流Internet应用，也成为企业用户最难以控制的Internet流量。

在Internet中缺少控制就意味着混乱，这是由其(IPv4协议族)体系结构方面的缺陷造成的。

因此缺少控制的电子邮件已经成为黑客和病毒危害网络信息安全的主要途径。

对其进行控制势在必行。

对于企业用户来说，在用户桌面安装垃圾邮件过滤工具的作用有限，因为在过滤时垃圾邮件及其携带的有害流量已经进入了企业内部网络。

因此，必须采取更加积极的防御措施，在邮件服务器之前部署反垃圾邮件网关，将有害邮件挡在企业网络之外，是最有效的方法。

反垃圾邮件网关是一个第七层的逻辑概念，可以体现为一台专用设备，也可以是安装了专用软件的普通服务器。

在实施的时候，只要将用户现有的域MX纪录指向网关设备，再设置网关设备将邮件转发至原有邮件服务器即可。

在某些场合下，这类网关设备还可以工作在透明模式，串接在原有的邮件服务器的前面，这样做的好处是不需要对原有的网络结构和系统设置进行任何改变。

在透明模式下，网关也要对邮件的流量进行扫描处理。

总之，反垃圾邮件网关设备扮演了“邮件哨兵”的角色，在邮件抵达邮件服务器之前对其进行检查，并根据检查结果采取相应的措施。

关于垃圾邮件攻防的具体技术，可参考本报2004年第八期D8、D9版的文章《垃圾邮件技术分析》。

怎样评测反垃圾邮件产品
对评测方法的考虑
作为我国媒体首次进行的反垃圾邮件产品大型测试。

为了保证结果的客观性、准确性和科学性，我们在测试规划和测试方法方面进行了大量的准备，突破性地解决了很多问题。

测试反垃圾邮件的产品，要面临的第一个问题是如何界定垃圾邮件。

这往往是存在争议的，例如，对于多数用户毫无价值的广告信息，对个别用户可能是有用的。

目前，国际上对于垃圾邮件更为精确的称法是UCE（未经许可的有商业目的的邮件）和UBE（未经许可的批量发送的邮件）。

另外，从对于网络和邮件系统的危害程度来看，携带病毒与攻击代码的邮件是最大的。

考虑到绝大多数垃圾邮件制造者的邮件地址数据库都是从Internet网页中搜集整理而来的，我们使用了在网站上发布与背景同色的诱饵邮件地址的方法来收集垃圾邮件样本，这种地址是肉眼无法看到的，只能被工具搜索到。

我们可以确定，发送到这些信箱的邮件都是属于UCE或UBE范畴。

从2003年12月31日我们设立诱饵信箱开始，截止到2004年5月8日，我们的诱饵信箱共收到邮件20余万封，其中约1/4含有病毒或攻击代码。

经过处理，我们使用其中的9000封，加上采自其他途径的1538封邮件，对受测产品进行功能测试。

事实上，对于反垃圾邮件产品，采用在线测试也是一种有效的方法。

我们在收集样本的同时，也完成了在线测试的技术准备，但是在线测试需要受测设备进行足够长时间（至少2～4周）的持续测试，才能保证结果的有效性，而在测试周期内，会有各种潜在的、不可控的
因素会对测试结果造成影响，可操作性较差。

因此，我们采取了尽量模拟真实环境、使用真实样本的折中方法。

这样既可以保证较客观地反映受测产品的功能，又可以保证测试可控、可重现、可操作。

功能测试方法
在功能测试方面，我们采用了自行研发的测试工具，结合qmail系统进行邮件的发送。

虽然开发一个邮件发送程序非常简单，但单一的邮件发送模式无法模拟垃圾邮件多变的制造环境，而qmail是一种很常见的MTA，使用qmail可以有效地确保邮件发送的兼容性和真实性。

例如，所有垃圾邮件的邮件路由信息都被保留，其中往往包括了假的IP、主机名或E-mail 地址信息。

这些信息都可以成为受测设备判别垃圾邮件的条件。

在功能测试中，我们所采用的拓扑结构，如图3所示。

通过一台配有MTA（邮件传输代理）的发信服务器A向受测设备发送样本邮件，受测设备对邮件进行过滤处理后再发给收信服务器B。

我们在服务器B上建立了若干专用于收信的邮件账号，每次测试完毕后对处理结果进行统计和分析。

我们在测试环境中建立了实验域，为测试环境中的主机建立相应的A纪录，并将MX纪录指向受测设备，然后设置受测设备将邮件转发到收信服务器B。

我们使用的样本邮件共10538封，其中80%为汉字编码邮件，着重考察设备对于中文垃圾邮件的处理能力。

邮件样本的平均长度为14KB，其中约30%含有附件。

全部样本邮件中，除了垃圾邮件外，有500封正常邮件，包括普通的工作往来信函和订阅的邮件列表、以及朋友间的群发邮件等。

性能测试方法
在性能测试方面，经过对用户实际需要的分析，我们将重点放在考察受测设备对于邮件的处理能力上。

不管是工作在转发模式还是透明模式，各种受测设备最终还是要在本地处理SMTP命令和维护邮件队列。

因此我们使用Spirent公司最新的Avalanche 2500和Reflector 2500设备来模拟一定的流量压力，考察反垃圾邮件网关所支持的邮件处理能力等重要参数。

在性能测试中，我们所采用的拓扑结构与功能测试类似：以Avalanche 2500模拟客户端向反垃圾邮件网关发送邮件，然后由反垃圾邮件网关转投给由Reflector 2500模拟的邮件服务器。

根据反垃圾邮件网关在不同工作模式下支持的网卡数目，我们测试的拓扑结构会有所变化，即在支持双网卡时，让它分别连接Avalanche 2500和Reflector 2500；在使用单网卡时，把它、Avalanche 2500和Reflector 2500一起连接到交换机上。

通过Avalanche 2500，我们可以对模拟邮件的源发送IP地址、目的IP地址、发件人、收件人、邮件的长度等参数进行设置。

测试时，我们采用了一个C类地址来模拟源发送IP，为了模拟真实的邮件环境，模拟的邮件中有25%的邮件大小为300KB，其余邮件的大小是在0.3～30KB之间平均分布的（即每封邮件的平均大小为15.15KB）。

具体测试过程分为五个阶段：第一阶段是准备阶段，Avalanche 2500准备发送模拟邮件；第二阶段是预热阶段，Avalanche 2500模拟的邮件发送人数从0缓慢升到10；第三阶段是逐步加压阶段，我们分十个步，每个步增长50个用户；第四阶段是维持阶段，即保持有510个用户同时做发信请求；第五阶段是结束阶段，用户数逐步减少到0。

整个模拟发信过程时长为220秒。

通过Reflector 2500，我们设置了接收邮件服务器的域名（）、IP地址和端口号。

在Avalanche 2500发送测试邮件的同时，Reflector 2500开始对从反垃圾邮件网关转投过来的邮件进行分析统计，一直到反垃圾邮件网关结束整个投递过程时停止测试。

通过测试，我们可以得到反垃圾邮件网关每秒提供SMTP服务的能力——最大并发连接处理数，同时可以得到发送邮件的连接请求数、成功发送的邮件数、成功转发邮件的百分比及平均响应时间等重要参数。

需要说明的是，这些参数是在反垃圾邮件网关没有开启任何过滤策略时的数据，它们在一定程度上反映了反垃圾邮件网关在极限工作时能达到的状态。

为了保证测试的精确性，我们对每款产品在相同模式下都进行了三次测试，测试结果取平均值。

怎样分析评测结果
对于用户来说，部署反垃圾邮件产品时除了尽量减少垃圾邮件的危害外，最重要的是不能导致正常邮件的丢失。

事实上，对于少量无恶意的垃圾邮件，多数用户并无反感，如果大部分垃圾邮件能够被有效过滤掉，即可认为产品的正常作用已经发挥。

在邮件过滤方面，参测产品各有特色，最适合的应用环境也各不相同，用户在选择产品时，应根据自身的实际情况来进行取舍。

在功能测试方面，我们测试的是受测设备处在默认的反垃圾邮件功能启用时的过滤情况，即测试用户刚进行完毕产品部署时的过滤情况（各厂家产品的默认过滤级别并不完全相同）。

在实际应用中，经过定制切合自身需要的策略和优化系统，通常过滤的成功率会更高。

在性能测试时，由于我们设定的邮件负载较大，这对于受测设备提出了较高的要求。

因此，我们测试得到的性能数据通常要比厂商标称的数据低。

事实上，这次测试中有两款设备平均每秒可以处理邮件80封以上，这意味着每小时可以处理近29万封，这已经是非常惊人的数字了。

需要指出的是，这次评测的所有产品包括软件和设备，其硬件配置并没有严格处于同一个水平线上，因此我们的测试结果不具有横向比较的意义，而是用来反映各家产品在相应的配置上所能达到的性能表现。

性能测试所用设备为Spirent Avalanche 2500和Reflector 2500，其接口均为1000 Base-T/1000Base-FX(SFP) Combo，以及三层千兆交换机。

功能测试使用计算机世界评测实验室开发的专用测试软件。

评测的基准网络环境为百兆交换以太网环境。

软件组的测试中，所用服务器平台为双P4 Xeon 2.2GHz CPU、1GB DDR SDRAM、240GB SATA RAID0硬盘组及100Base-Tx+1000Base-T双网络接口，可满足受测软件的推荐要求。

软件组的测试用的操作系统平台为Red Hat Linux 9.0，在典型服务器安装的基础上，再根据受测软件的要求添加一定的软件包。

功能测试中，发信服务器的配置为P4 Celeron 2.0G CPU、1GB DDRSDRAM、120GB PATA 硬盘，双1000Base T网络接口。

采用的操作系统平台为Trustix 2.1，这是一种在Red Hat Linux系统基础上开发的、针对Server应用、强调安全性的Linux发行版。

插 文
测试指标说明
发送邮件的连接请求数：指在测试过程中，Avalanche 2500测试仪向反垃圾邮件网关发出的SMTP请求的总数，如果请求没有得到响应，测试仪器不会发送邮件。

成功发送的邮件数：是模拟邮件服务器Reflector 2500成功接收到的、由反垃圾邮件网关转发过来的邮件数。

成功百分比：是指成功发送的邮件数与发送邮件的连接请求数的百分比。

最大并发连接处理数：是指整个测试过程中，反垃圾邮件网关成功接收邮件的瞬间最大值。

对整个性能测试来说，最大并发连接处理数是最重要的指标之一，它反映了邮件系统瞬间提供服务的能力，其结果表示为每秒建立的连接数。

平均响应时间：是指从Avalanche 2500发送SMTP连接请求开始，到反垃圾邮件网关成功接受到邮件第一位数据时的时间间隔。

插 文
捉迷藏
我们曾经在网站上看到有人这么来表达自己的邮件地址：我的邮件地址是我的名字@我的姓.org，我的姓名如下......(My E-mail address is my first name @ my laste name dot org , and the folowing is my name......)。

这样费尽心思去“绕弯”发布自己的邮件地址是一种与垃圾邮件制造者（邮件地址数据库采集者和贩卖者）之间捉迷藏的游戏。

插 文
一个很有趣的现象是，这次参测的所有硬件设备都使用了Linux系统平台。

而软件方面也都送测了Linux版本，这是Linux在MTA方面的强大性能的有力佐证。

事实上，因为Linux 容易定制，配置简便，也非常适和我们用于搭建测试环境及作为开发专用工具的平台。

在这方面，Trustix 2.1成为我们的不二之选。

但Linux绝非完美，解决Red Hat Linux 9.0与我们的软件测试服务器平台之间的硬件兼容性问题就耗费了我们不少的时间。

对于服务器平台设备支持的明显滞后至今仍是Linux的软肋。

（计算机世界报 第22期 D7、D8）
冠群金辰KSG-500:“小肚”能容天下
冠群金辰送测的KSG-500是冠群金辰反垃圾邮件产品线中的入门级产品，它既是本次参测设备中体积最小的一款，也是功能最多的一款。

虽然它只采用了1U高度、短机身的设计，却集成了包括反垃圾邮件网关、防火墙、入侵阻断、内容过滤和病毒过滤在内的全面的安全功能。

而且各功能之间可以相互补充，例如，通过它可以进行端口速率限制和并发连接数限制，可防止由垃圾邮件病毒引发的DoS攻击。

KSG-500的配置界面非常简明，如图1所示。

在反垃圾邮件功能方面，KSG-500可以使用CA公司的RHRBL黑/白名单服务，并可以对邮件的头信息进行基于正则表达式的过滤。

除此之外，KSG-500还提供了专门的内容过滤功能，可以对包括SMTP和HTTP在内的4种协议的流量进行内容过滤和控制。

KSG-500本身没有集成日志分析和报表生成的功能，而是提供了日志下载的功能，另外还提供了专用的报表生成工具。

这样显然可以减小系统负担。

在功能测试中，KSG-500的表现不错，只有814封垃圾邮件成功地通过了过滤，其拦截成功率为91.89％,具参测产品之首；在误拦截数量方面，有两封邮件被误过滤。

不过，由于该产品的默认过滤级别较高，其误拦截的数量也相对较多，在实际应用中，用户可以采用较低的过滤级别，并结合黑名单和白名单的定义来取得较好的效果，对此，KSG-500在功能上提供了足够的支持。

KSG-500支持两种工作模式，即透明模式和路由模式，在这次测试中，我们只进行了透明模式下的测试。

在测试规定时间内(220s)，Avalanche 2500向KSG-500发起了8405次SMTP 连接请求（即尝试发送8405封邮件）。

在Avalanche 2500停止模拟邮件发送后的7分钟内，KSG-500完成了全部邮件转发过程，由Reflector 2500模拟的邮件服务器共收到8026封邮件，成功率达95.49%。

KSG-500对客户端的平均响应时间为2746.952ms，最大并发连接处理数为54。

KSG-500集成度高，而功能相对比较成熟，非常适合中等规模的网络使用。

（计算机世界报 第22期 D9）
美讯智SMG 3.7：处处体现专业
美讯智是一家专业的反垃圾邮件/内容安全产品制造商。

他们送测的反垃圾邮件网关为MessageSoft SMG 3.7。

它采用标准的2U机架结构，单Intel Xeon 2.4GHz处理器（支持超线程技术）、1024M ECC Registered DDR内存、73GB SCSI热插拔硬盘，集成Ultra320 SCSI 控制器（支持RAID0、RAID1），具有一块10/100M和一块10/100/1000M自适应以太网网卡。

SMG 3.7采用了独特的MessagePro信息处理机制，具有多种功能：可以扫描病毒邮件、防御垃圾邮件、保护信息的完整性和安全性，允许管理员制定各种E-mail过滤规则，拥有高扩展性和集中管理功能。

此外，它还提供了详尽的日志统计报告，可以良好地反映其工作状态。

值得一提的是，SMG 3.7采用优化的Linux内核，安全性高，且管理界面友好，使用户能够方便地进行各种复杂的配置。

在功能测试方面，在默认过滤级别设置为低的情况下，有2246封垃圾邮件通过了过滤，过滤成功率为77.63%，处在较好的水平。

据悉，SMG 3.7在中级过滤级别下，过滤成功率在85%左右，高级过滤级别下为95%左右。

在误拦截数量方面，没有一封邮件被误过滤。

在性能测试时，SMG 3.7采用的工作模式是转发模式。

在测试规定时间内，Avalanche 2500向SMG 3.7发起了14222.67次SMTP连接请求（即尝试发送14222.67封邮件）。

在Avalanche 2500停止模拟邮件发送后的半分钟内，SMG 3.7完成了全部邮件转发过程，由Reflector 2500模拟的邮件服务器共收到14099.33封邮件，成功率高达99.13%。

SMG 3.7对客户端的平均响应时间为288.378ms，最大并发连接处理数为104.7。

综合各项性能指标，SMG 3.7交出了一份满意的答卷：工作状态稳定、响应时间短、邮件转发送成功率高。

这款产品在评测过程中表现相当稳定，综合其处理能力和过滤成功率等因素，我们认为这款产品适用于较大规模的企业和电信行业。

（计算机世界报 第22期 D9）
NAI Webshield e1000:稳定强大
NAI作为传统的网络安全厂商，其McAfee系列产品在业内享有良好的口碑。

这次NAI
送测的反垃圾邮件网关是Webshield e1000。

Webshield e1000同样采用了2U的标准机架结构，硬件配置很高：4个至强2.2GHz CPU、4G内存、两块36G SCSI硬盘和两块10/100/1000M 自适应以太网网卡。

Webshield e1000支持的功能很多，它采用McAfee病毒扫描引擎检测网络中的病毒及其他恶意代码，可以对进出网络的电子邮件进行内容控制，阻止不需要的邮件访问，具有网站浏览访问和内容控制功能，并提供详尽的反垃圾邮件规则。

Webshield e1000的管理界面友好，可支持多国语言，但在控制管理时必须安装基于JDK 1.3.1版的Java控制台，我们在管理的时候曾经遇到JDK版本的冲突问题。

如果用户遇到这种问题，可以考虑使用专用的客户机或者基于虚拟机（如VMWare和Virtual PC）来解决。

据悉，WebShield e1000使用了目前已经比较成熟的SpamAssassin技术。

从垃圾邮件的判定方面，WebShield e1000沿用了SpamAssassin式的分值系统，用户可以对邮件的各种特征进行分值定义，并设定过滤的阀值，系统根据各种分值加权算出每封邮件的总分，再与阀值对比来确定过滤与否。

基于我们之前对SpamAssassin的测试，我们曾担心WebShield e1000的中文邮件处理能力。

事实证明我们的担心是多余的。

在功能测试中，NAI表现良好，有2441封垃圾邮件通过了过滤，其拦截成功率为75.68%。

在误拦截数量方面，没有一封正常邮件被误过滤。

WebShield e1000支持三种工作模式：显示代理模式、透明网桥模式和透明路由器模式。

在性能测试中，我们只采用了透明网桥模式（即透明模式）。

在测试规定时间内，Avalanche 2500向WebShield e1000发起了16247.67次SMTP连接请求（即尝试发送16247.67封邮件）。

在Avalanche 2500停止模拟邮件发送后的半分钟内，WebShield e1000完成了全部邮件转发过程，由Reflector 2500模拟的邮件服务器共收到16098.67封邮件，成功率高达99.08%。

对客户端的平均响应时间为4105.344ms，最大并发连接处理数为104。

WebShield e1000是一款相当成熟的产品，具有高度的可定制性，可适合各种规模的应用场合。

（计算机世界报 第22期 D9）
启明星辰天澄防垃圾邮件系统1.0：颇具潜力
启明星辰是我国知名的信息安全厂商。

这次，其送测的产品是即将上市的天澄防垃圾邮件系统1.0，目前仍处在测试阶段。

天澄防垃圾邮件网关1.0同样采用了时下流行2U机架结构。

其硬件配置为：P4 2.4G CPU、2G RAM、IDE 80G 硬盘、2块 Intel EE Pro 100M网卡。

天澄防垃圾邮件网关配置界面简明，如图所示。

天澄反垃圾邮件网关除了具有常规的反垃圾邮件控制功能之外，还具有公安网络监管功能。

用户可以根据其所在地区的监管协议进行选择控制。

另外，天澄防垃圾邮件网关具有透明网关、MX转发和独立邮件服务器三种工作模式。

方便了用户的使用，省去了修改网络拓扑结构所带来的很多麻烦。

为了节省系统资源，天澄防垃圾邮件网关不支持复杂的日志分析功能，但用户可以通过导出日志，使用Excel、Access等软件进行统计。

在功能测试中，天澄防垃圾邮件网关的拦截成功率为69.46%；在误拦截数量方面，共有7封正常邮件被过滤，占发送正常邮件数的1.4%。

结合实验室的拓扑结构，我们选择了单一的透明网关模式进行测试。

在测试规定时间内，Avalanche 2500向天澄反垃圾邮件网关发起了16760次SMTP连接请求（即尝试发送16760封邮件）。

在Avalanche 2500停止模拟邮件发送后的8分钟内，天澄防垃圾邮件网关完成了全部邮件转发过程，以Reflector 2500模拟的邮件服务器共收到16596封邮件，成功率高达99.02%。

天澄防垃圾邮件网关对客户端的平均响应时间为494.078ms，最大并发连接处理数为149。

在测试中，天澄防垃圾邮件网关在同时接收和发送邮件时，转发速度较低，直到客户端停止发送邮件后，转发速度迅速上升到100封/秒以上，这也正是其转发时间较长的原因。

据厂家工程师解释，这是由于该产品分配系统资源时，接收邮件比发送邮件的优先级高导致的。

在同时接收和发送大量邮件时，系统的大部分资源都用于接收操作；当客户端停止发送以后，这部分资源就被释放出来进行队列转发。

据厂家工程师介绍，目前，天澄防垃圾邮件网关的核心代码还没有完成优化，在正式上市的时候，其性能和过滤准确率等指标都会有所提升。

总体上讲，这款即将上市国产产品颇具潜力，值得用户期待。

（计算机世界报 第22期 D10）
3R Soft Spambreaker：配置个性化
3R Soft是一家长期从事邮件服务器开发的软件公司，这次它们提供了最新的Spambreaker网关软件。

作为一款Linux应用程序，Spambreaker的安装非常简单，没有出现任何软件依赖性或库版本相容性方面的问题。

安装完成后，我们可以很顺利地访问其配置页面，Spambreaker通过Web界面主要提供了邮件过滤及日志管理方面的功能。

对于邮件服务相关的配置，用户可以通过修改与Spambreaker打包安装的Postfix MTA程序的配置文件来完成。

与其他的产品不同的是，Spambreaker并没有提供自动识别过滤垃圾邮件的功能，而是为用户提供了分级别的、基于正则表达式的过滤系统，该系统可以对邮件的头信息、正文进行全面的过滤。

熟悉Outlook或者Outlook Express邮件自动分类功能的用户会感到这种界面十分容易上手。

由于Spambreaker没有自动过滤的功能，我们的功能测试无法进行，仅对其进行了性能测试。

后来，据厂家工程师介绍，3R Soft通过网站可提供过滤规则的下载支持。

Spambreaker网关软件采用的是转发模式，并可以支持双网卡同时工作。

在测试时，我们只采用了单网卡的转发模式。

在测试规定时间内，Avalanche 2500向Spambreaker发起了6886.33次SMTP连接请求（即尝试发送6886.33封邮件）。

在Avalanche 2500停止模拟邮件发送后的半分钟内，Spambreaker完成了全部邮件转发过程，由Reflector 2500模拟的邮件服务器共收到5258封邮件，成功率为76.35%。

Spambreaker对客户端的平均响应时间为3984.444ms，最大并发连接处理数为45.3。