1.基于规则的过滤
 

　　这是目前已经广泛采用的传统的邮件过滤方式. 它通常是针对邮件中的特定特征进行检测,一旦特征与预先设置的吻合,即根据预设逻辑对邮件进行处理,如删除、退回、拒收、转交管理员等. 规则过滤系统中常用的规则有:

　　1) 发件人P回复地址中包含特定地址;

　　2) 收件人P抄收栏中包含特定地址;

　　3) 邮件标题中包含特定字符串;

　　4) 邮件内容中包含特定字串或特定附件.

可以根据电子邮件中包含的信息自动地将收到的电子邮件进行归类并将其收入相应的文件夹或邮件箱的阅读软件。例如，来自一个用户的叔叔david的所有邮件可能放在一个名为“Uncle david”的文件夹中。过滤器也可用于封锁或接收发自指定来源的电子邮件。目前在国内，邮件过滤功能做的最好的当属网易企业邮箱(163企业邮箱)

2.附件中传统病毒、黑客程序及邮件****的检测与清除

　　传统意义上的邮件反病毒、反黑客主要是针对邮件附件的,只有附件才能带有复杂的处理逻辑而可能被执行(现有HTML 格式邮件直接内嵌脚本是一种例外) ,而邮件本身并不能被执行. 因此,邮件附件的分析及其病毒、黑客程序的检测与清除是很重要的一个功能模块,主要包括以下2 个方面:

　　1) 邮件格式分解与组合

　　目前Internet 邮件一般都采用MIME 编码格式[1 ,2 ] ,因而一个邮件的结构可能相当复杂,逻辑上是由一个树状结构构成,而其中每一叶节点还可能是由归档P压缩工具打包的多个文件组成. 为了确保邮件中的任何部分都是安全的,必须对邮件结构进行彻底的分解,将其中的每一可执行部件交给扫描引擎进行检测,在清除了其中的病毒、黑客程序之后,还需重新将分解、清除过的部分按MIME 格式组合起来.

　　2) 对可疑部分的扫描

　　因为邮件可以被彻底分解开,这里可以采用通用的杀病毒引擎对邮件的最小组成单元进行病毒、黑客程序的检测与清除.

3.脚本型邮件****和恶意程序的检测与清除
 

　　近年来,随着各种脚本语言在网络中越来越广泛的应用及其能力的逐渐增强,使用脚本语言编写的恶意程序也越来越多,这给Internet 邮件系统带来了空前的威胁.脚本型邮件****和恶意程序的新特点决定了传统杀病毒引擎不足以清除它们. 需解决的问题有:

　　1) 对嵌入其他文档结构中的脚本的提取与分析

　　主要是针对HTML 格式的邮件中可直接嵌入Java script 和VB script 脚本,以及像MSWord 文档和LotusWord pro 文档这样可嵌入VBA 脚本的情况,必须能够对这样的基本邮件组成部分进行进一步的分解,识别并提取其中的可执行的脚本,交给扫描引擎.

　　2) 启发式的识别算法

　　与以往的二进制型病毒不同,文本型的脚本程序本身非常容易被改变,必须采用具有一定未知脚本识别能力的启发式识别算法,才能达到一般安全防护的要求. 事实上,邮件及其附件中的脚本程序通常不是邮件的必需部分,因而,可以将一切邮件内嵌脚本滤除,这样通常不会损害邮件的主要内容,同时又提供了万无一失的保护,以提供最高的安全性.