邮件安全整体部署解决方案_卜八电脑最全问题故障中心

一、应用背景

电子邮件系统是当前企业最重要的信息沟通手段之一。其方便快捷低成本等特性使得电子邮件的使用成为目前人们工作生活的日常习惯。但是由于垃圾邮件的肆虐，企业的电子邮件系统往往被大量的垃圾邮件及病毒邮件所困扰。另一方面，未经审计的电子邮件系统也容易被滥用，泄露企业机密，或者发送与企业无关的邮件。

完整的邮件安全解决方案应包括三个方面的内容：

1 邮件系统自身的安全。

邮件系统应符合相应的规范：防止黑客或其他未授权用户非法访问邮件服务器；防止遭受病毒感染；关闭relay并对SMTP连接作相应限制；开启SMTP认证等。在2003年以前国家信产部提出的关于邮件安全主要内容就是这些。随着技术的发展，邮件系统厂商均能很好的支持上述功能。在实施邮件安全整体解决时，将会帮助客户检查邮件系统自身是否存在安全隐患，并提出修正建议。

2 反垃圾邮件系统

自2003年起，由于垃圾邮件迅速增多，邮件系统本身的垃圾邮件过滤功能薄弱，企业纷纷购买专业的反垃圾邮件网关产品对垃圾邮件进行过滤。

3 邮件储存网关。

自2006年起，随着企业在运营管理、内部控制和法规遵从方面的要求也越来越高。按照SOX的要求，所有可能最终涉及财务报告的内部资料均需存档以备核查，因此，公司的邮件消息需要有完整、可靠的存档，并在需要时可迅速查询。邮件存储网关是一款硬件和软件集成的解决方案，它可以帮助企业用户存档发送和接收到的所有邮件。邮件存储网关自动存储并且实时索引所有邮件，使授权用户可以进行快速地查找和取回邮件。

二、邮件安全整体解决方案

整体说明：

1在企业现有的网络架构下，采用一台或两台高端型号的反垃圾邮件产品作为反垃圾邮件网关对来自互联网的邮件进行垃圾邮件及病毒邮件的扫描，过滤完成后，将正常的邮件发送到邮件服务器上。

2 在现有网络架构下，安装一台高端型号邮件储存网关，对所有进出邮件进行存储备份。

解决方案拓扑图

三、实施方案

1．建议将垃圾邮件防火墙，邮件存储网关和邮件服务器一起，物理并联，部署在DMZ区域。

2．推荐采用垃圾邮件防火墙，将MX记录更改到上，这样来自互联网的邮件将先发送到上，过滤完成后发送到邮件服务器上。为避免在整个邮件路由过程中的单点故障，我们采用2台进行冗余，实现对邮件数据的同步，并且提高整体的邮件处理能力。

3．在邮件服务器上设置Smarthost，将所有外发的邮件发送到上，记录扫描后发往Internet。

4．开启后台邮件服务器的日记（journaling）功能，将需要进行归档发送到邮件存储网关上；但推荐使用反垃圾邮件的journaling功能，将所有发送和接收的邮件发送到邮件存储网关上。

5．通过启用邮件存储网关的remote journal account功能，自动从邮件服务器抓取journaledmessages，推荐使用IMAP协议，可以在抓取的过程中，保留相应的附本在邮件服务器。邮件存储网关会自动对所有归档邮件进行索引，分类，分用户管理。

6．邮件存储网关的外部存储管理功能可以配合支持SMB/CIFS的存储服务器，实现raid 0和raid 1的存储空间扩展，避免因为邮件存储网关的故障导致数据的丢失。

四、反垃圾邮件产品介绍

1 反垃圾邮件的工作原理

十二层过滤模型图

每一封进入的邮件，都要经过多达十二层的反垃圾过滤，只有通过了全部十二层过滤，才会由转发给邮件服务器，从而保障了邮件服务器不受垃圾邮件侵扰，这十层过滤依次是：

1）拒绝服务攻击及安全防护层：可有效地阻止针对邮件服务器的DoS或DDoS攻击。

2）速率控制：该层检查每个IP的连接频率，如超过用户定义值，则阻止其连接，直至符合规定。该层还可限定每连接邮件数、每连接时长等。保护邮件服务器免受海量邮件攻击。

3） IP过滤层：该层对邮件的IP来源进行分析，阻止不良IP来源的邮件。包括实时黑白名单库分析，国际国内公共RBLs分析，用户自定义的IP黑白名单分析。该层可过滤超过30%的垃圾邮件，在某些地区甚至可阻断90%以上的垃圾邮件。

4）发送者验证：该层对发件人的合法性进行分析，阻止不良或虚假的发件人。包括：发件人域名合法性检测，真假性检测，是否伪造成别人的域在发邮件，是否可以通过SMTP认证等。

5）收件人验证：该层对收件人的合法性进行分析，拒绝不存在的收件人邮件。包括：是否属于转发判断，通过SMTP或LDAP方式查询收件是否存在。通过上述检测，有效防止字典攻击，目录攻击。

6）双层病毒防护：采用open resource的clamd防毒引擎以及公司原创的防毒引擎，进行严格的双层交互病毒防护。不断可以防止各种病毒，还能够识别网络钓鱼邮件及部分间谍软件。该层也对压缩文件进行病毒检查。

7）用户自定义规则：用户自定义的各种规则的检查，如关键字检查、附件类型等。

8）垃圾邮件指纹检查：该层依托庞大的邮件指纹库进行核查。垃圾邮件的样本来源有，1 博威特公司在全球设置的大量蜜罐。这是指纹样本的主要来源。2 全球数万台分类出的垃圾邮件。3 某些型号的用户个人发送的垃圾邮件样本。

9）意图分析：该层依托博威特公司建立的bsf数据库对邮件中的URL地址进行检查。时最早采用意图分析技术的产品。博威特公司每天更新数百个URL地址。

10）图片分析：传统的过滤技术无法对图片进行识别过滤。博威特公司一直关注和监控互联网垃圾邮件的最新变化和趋势。最早发布的图片垃圾邮件预报和预警。又最早提出了图片垃圾邮件的解决方案。即以第三代OCR技术为主，以邮件指纹技术为辅的方法对图片进行识别。

11）贝叶斯分析：贝叶斯分析是最经典的反垃圾邮件技术之一，它对邮件的可能性进行推理分析。贝叶斯技术使得能够根据不同用户的垃圾邮件及正常邮件特点，有针对性的进行判断。提高过滤精度，减少误判，贝叶斯技术使更加“聪明”。

12）垃圾邮件值评分：根据规则对邮件进行评分，并整合垃圾邮件指纹检查、贝叶斯分析给出的评分，给出邮件的最终得分。

这十二层过滤经过了精心的安排，其检测过程符合四条法则：

垃圾邮件终止法则：若某一层过滤判定该邮件不合法或为垃圾，则立即阻断该邮件，结束进程，后面的各层检查不再进行。

按序检查法则：一个完整的smtp邮件发送从helo命令开始，因此从该进程的第一条命令开始依次进行检查。如发现为垃圾，其余数据将不再接收。

低消耗优先法则：占用系统资源较少的过滤层优先，耗费系统资源大的过滤层靠后。这样，系统能以最少的消耗处理最大量的邮件。

安全优先法则：涉及到系统重要安全的检查先进行。

2 反垃圾邮件的优势：

反垃圾邮件技术优势：采用了业界最先进的分层过滤技术，并使用了多种高级内容检测技术，如图片分析技术、意图分析技术、贝叶斯过滤技术、邮件指纹技术、PDF文件过滤技术等。中心更7*24小时监控互联网络，即使升级产品，确保能够过滤最新型垃圾邮件。

处理性能强大：设备是专门为大型企业及电信用户开发的，每天可以处理50-100万封垃圾邮件。

过滤率高误判率低：过滤效果广受赞誉，垃圾邮件过滤率可达96%-98%。

易于安装使用：安装简单，只需10分钟即可完成部署。Web管理界面，简单易懂，在线帮助详细。病毒库、垃圾邮件规则库自动更新，可以做到安装后不管。

安全性高：多层病毒扫描机制，零时病毒防护，具备安全库更新可以防止各种邮件攻击或针对本身的攻击。

日志报表功能强大详细：完全数据库化的日志系统，处理过程对用户透明，提供数十种日志搜索方式，提供模糊搜索、组合搜索；提供十多种不同形态的报表。

五、邮件储存网关介绍

邮件存储网关是一款软件结合硬件的一体化集成解决方案，它帮助企业用户存档发送和接收到的所有邮件。邮件存储网关可以自动存储并实时索引所有邮件，使管理员和用户可以非常方便，迅捷地搜索和取回邮件。

1 邮件存储网关的功能

存储网关能帮助企业实现满足萨班斯发案中对流程控制的高要求。包括：

• 能够支持本公司2年内的电子邮件存档需求；

• 对进出邮件全部存档，没有遗漏，包括附件；

• 不存档垃圾邮件；

• 应尽可能支持单副本附件；

• 存档内容不可选择性删除、改写，也不受用户删除、改写的影响；

• 需要时可在一天内完成检索；

• 支持对邮件体文本和常见附件的全文检索；

• 可以根据时间、收件人、发件人、主题、正文和附件内容进行快速检索；

• 对存档内容进行检索时，需有授权；

• 需同时制订一个管理规范，对运行管理与维护、数据备份、销毁、检索过程进行规定。

2 邮件存储网关的优势：

易于安装及使用    邮件存储网关安装非常简单方便，只需要按下面的安装拓补图，简单设置IP，连通网线即可。完全不需要修改防火墙，路由器等设置。一般只需要十分钟就能安装完成，开始使用。使用中也不需要管理员经常监控，调整设置。完全是一个不用管理，即用即进的简洁可靠的产品。

    更可以结合反垃圾邮件网关进行使用，双重保护和扩展你的邮件关键应用系统：

高性价比，零维护的解决方案    邮件存储网关不按具体邮件用户数收费，专用的硬件架构使其维护成本非常低，同时也使归档等复杂系统变得非常简单和直观，同时本身的加固安全系统使得安全性有很高的保障。成为一个高性能低价格每个企业都能用的起的专业邮件归档备份系统。

实时防病毒能力    邮件存储网关还提供了额外的病毒防护功能，该功能采用内嵌的强大的病毒过滤引擎，病毒特征码可以快至每小时升级，达到99%以上的病毒邮件过滤率。

全面的归档能力  邮件存储网关拥有非常强大的邮件归档存储能力，拥有TB级的存储容量：