Symantec Mail Security 8300技术白皮书Word格式.docx
《Symantec Mail Security 8300技术白皮书Word格式.docx》由会员分享,可在线阅读,更多相关《Symantec Mail Security 8300技术白皮书Word格式.docx(24页珍藏版)》请在冰豆网上搜索。
3.5.SMS8300系列功能介绍12
3.5.1.电子邮件防火墙12
3.5.2.TCP层流量优化14
3.5.3.反垃圾邮件技术14
3.5.4.防病毒技术17
3.5.5.内容策略一致性17
3.5.6.组策略和过滤策略18
3.5.7.最终用户功能19
3.5.8.管理和易管理性20
3.5.9.设备型号和规格23
3.6.部署模型23
3.6.1.基本网关部署23
3.6.2.网关部署-多个设备24
3.6.3.DMZ中的网关部署25
3.6.4.网关部署-带有SMTP网关的DMZ26
3.6.5.多层网关部署27
3.6.6.网关后部署28
随着信息时代到来,电子邮件在人们的生活中扮演越来越重要的角色,企业进行业务往来更加依赖于邮件系统的正常运作。
邮件系统的安全以及信息传递内容的管理也变得极为重要。
然而,企业资源不断地遭到病毒程序、垃圾邮件、非法内容的侵犯,干扰企业正常运作,造成邮件系统的瘫痪,泄漏企业机密信息,损害企业的信誉甚至导致企业陷入法律纠纷。
1.概述
垃圾邮件发送者除了以赚钱为目的外,其很重要的一点就是要逃脱反垃圾邮件解决方案的过滤,道高一尺魔高一丈,邮件过滤与反过滤之间的斗争已经持续了十几年。
第一代垃圾邮基于Ascii码文本并带有一定的随机性,容易进行手工处理和关键词过滤。
但同时,垃圾邮件也在不断的演化,最新的垃圾邮件已经包含了相当复杂的技术包括重度的随机化,隐藏发送源,以及使用基于HTML的反过滤技术等。
垃圾邮件发送者永远都在想方设法逃避过滤以便从垃圾邮件中获取好处。
Symantec保持有行业最为全面的反垃圾邮件技术架构,我们的高可适应性过滤技术包含了各种强大的启发式和响应式过滤器,为企业提供强大的反垃圾邮件防护以及最高的过滤效率。
Symantec反垃圾邮件解决方案专注于反垃圾邮件领域超过六年,是全球范围内的行业领导者,拥有2000个以上全球著名企业的成功案例,包括Avaya,eBay,Microsoft,IBM,Motorola,Bell,Lucent,MSN,AT&
T,Lycos等。
作为全球市场份额最大的反垃圾邮件解决方案,Symantec反垃圾邮件保护超过3亿个邮箱。
SymantecMailSecurity8300系列设备正是使用了Symantec核心的反垃圾邮件技术,可保护您的电子邮件基础结构、服务和数据免遭各种威胁的攻击,其中包括基于来源的和基于内容的威胁。
2.垃圾邮件问题的现状
此章节将阐述以下几个问题:
◆垃圾邮件的定义
◆垃圾邮件的演化
◆垃圾邮件发送者所采用的手段
2.1.垃圾邮件的定义
垃圾电子邮件是指用户未主动请求或同意接收的电子刊物、电子广告和各种形式的电子宣传品等电子邮件,没有明确发信人、发信地址、退信方式、发信人和收信人之间没有任何可识别关系的电子邮件,含有伪造信息源、发信地址、路由信息或收信人不存在的电子邮件。
2.2.垃圾邮件的演化
从电子邮件诞生的那天起,伴随着电子邮件的威胁就从来没有中断过,从最早的电子邮件病毒到目前流行的基于电子邮件的“网络钓鱼”(Phishing),电子邮件的威胁方式越来越多,危害也越来越大,如下图所示:
而伴随着电子邮件系统出现的垃圾邮件问题已经持续了十几年,从最初的基于纯文本格式的垃圾邮件开始,已经经历了相当大的变化,如下图:
2.3.垃圾邮件发送者所采用的手段
从商业杂志的调查结果来看,如果垃圾邮件接收者的回复率有0.05%,也就是2000个人里只要有一个人对这些邮件做回复,一些垃圾邮件发送者一个月就可以获取百万的收益。
如此高的回报率使得发送者们想方设法来逃避反垃圾邮件的过滤。
其往往采用如下的规避手段:
基于HTML的邮件内容变化
利用HTML来改变邮件内容是垃圾邮件目前最新最有力的反过滤手段,根据2003年6月的调查结果,超过80%的成人内容垃圾邮件采取的是这种手段。
对垃圾邮件来说,用这种方法可以:
吸引注意可通过Flash或语音等手段来迅速抓住接收者的注意力
方便跟踪往往一旦图片被下载,其内置的跟踪器可以使得垃圾邮件发送者确认目前邮件地址是否有效
方便邮件内容随机化和混乱化很容易通过加入虚假的HTML标签和HTMLtable等手段来随机化邮件内容
由于采用HTML后可对邮件做无数的随机和混乱化,垃圾邮件发送者大量的采用这种方式来逃避邮件过滤。
基于URL的伪造
垃圾邮件经常创建看上去正常的邮件正文和合法的URL链接,而实际上当用户相信这是一个合法链接采取点击等后续动作时,却被链接到有问题的网址。
通过OpenProxy来隐藏身份
垃圾邮件经常会通过OpenProxy(是错误配置或者被病毒所感染的机器,允许几乎所有的网络服务流量通过它来中继转发)来隐藏真实的IP地址等身份要素。
OpenProxy并不同于常见的开放邮件中继(opensmtprelay)。
邮件中继有时在某些情况下需要使用,而且其隐藏发送源的能力也比较弱,绝大多数MTA(邮件传输代理)都会在中继邮件前加上Received域,使得原始的发送源包含在该字段里。
而OpenProxy允许几乎所有的机器共享它的因特网连接,完全转换为Proxy本身的地址来通过HTTPPOST方式来向外部邮件服务器的25端口递交邮件内容,这使得接收者不可能发现真正的原始发送源,因此大多数垃圾邮件都是通过OpenProxy的方式来发送的。
3.SymantecMailSecurity8300反垃圾邮件解决方案
3.1.SMS8300设备概述
SymantecMailSecurity8300设备是Symantec公司使用其世界领先的Brightmail反垃圾邮件技术为核心所设计的,为企业提供易于部署的基于网关的综合电子邮件安全解决方案。
这些基于Linux的强健设备部署在企业的电子邮件或群件服务器之前,可以保护您的组织不受基于电子邮件的恶意垃圾邮件或病毒的攻击,同时确保仍然可以通过电子邮件进行有效的协作和通信。
通过将电子邮件防火墙、流量优化、反垃圾邮件、防病毒和内容策略一致性功能整合到单个设备中来提供集成的电子邮件威胁防护,SymantecMailSecurity8300系列设备实现了当前可用的最有效、最准确和易于部署的电子邮件安全解决方案。
电子邮件威胁的领域正在不断扩张。
如果不对邮件服务器的访问进行有效的控制,基于来源的威胁就会损害电子邮件的安全。
在许多系统中,几乎所有电子邮件发件人都可以连接到邮件服务器。
在另一些系统中,由于过分限制对电子邮件服务器的访问而妨碍了一些重要的业务功能。
SymantecMailSecurity8300系列设备中的电子邮件防火墙和流量优化功能可以自动调整细粒度访问控制,在确保简化合法发件人访问的同时,使滥用邮件的发件人由于很难或根本无法连接到邮件服务器而无法消耗邮件服务器资源。
除了基于来源的威胁外,防止恶意内容也是非常必要的。
组织需要跟上垃圾邮件和电子邮件携带病毒的迅猛增长之势。
虽然现在制订了有关维护适宜工作环境的法律要求,但是在满足电子邮件策略标准方面,组织还是面临着越来越大的压力。
SymantecMailSecurity8300系列设备紧密集成了三个方面的内容安全防护:
反垃圾邮件、防病毒和内容。
尽管这些经过公认的、行业领先的技术可以独立运行,但是当它们作为综合电子邮件安全解决方案的一部分运行时会更加有效。
例如,由于电子邮件防火墙和流量优化层可减少传入的电子邮件通信的数量,因此反垃圾邮件和防病毒过滤可以更有效地运行。
这种级别的自动化电子邮件安全防护之所以得以实现是因为Symantec的电子邮件过滤技术提供的行业领先的有效性和准确性以及极其灵活的配置功能。
这种技术使Symantec电子邮件产品出色的性能成为可能:
有效性达95%以上,误报率不到百万分之一。
同类技术只能捕获不到90%的垃圾邮件或病毒,也就是说它们的误报率较高,不能让用户和管理员相信它们可以实现集中的电子邮件策略管理。
SymantecMailSecurity8300系列设备允许您创建任意数量的组策略,以便通过多种方式为不同的用户组自定义邮件处理,过滤入站和出站电子邮件以及结合使用过滤条件和操作来满足您的特定要求。
Symantec一直在不断创造和评估新的过滤技术。
每一种技术都经过严格的检验以保证不会对Symantec近乎苛刻的垃圾邮件过滤准确性造成影响,SymantecMailSecurity8300系列设备目前的准确率可以达到99.9999%,也就是说检查100万封邮件,才会错误的将1封合法邮件误判为垃圾邮件。
同时,SymantecMailSecurity8300系列的自动化过滤器更新和集成的设备形式避免了几乎所有一直存在的管理负担。
SymantecMailSecurity8300系列设备的主要特点是它的控制中心,这是一个面向管理员的基于Web的管理控制台,它可以提供充分的控制、灵活性和可视性。
使用能够识别LDAP的电子邮件策略、丰富的邮件处理选项、可通过Web访问的隔离区以及过滤自定义工具,管理员可以对组织内不同的组或用户实施公司或部门针对垃圾邮件和不适当邮件制定的策略。
为了进一步洞察攻击趋势和攻击统计信息,还提供了多种报告,它们具有非常灵活的调度和发送选项。
SymantecMailSecurity8300系列设备整合了多种高效且有差异的电子邮件威胁防护,同时可降低电子邮件通信的入站流量。
这些特征如果与设备固有的易管理和易部署优点相结合,可以帮助减少电子邮件安全的总拥有成本。
节省的这些成本可以通过减少的硬件、网络带宽和管理员资源成本体现出来。
由于这种功能强大的组合受到Symantec的支持,因此客户还可以从行业领先的安全提供商所提供的支持和服务中受益。
3.2.SMS8300的使用方式
SymantecMailSecurity8300系列设备的用途非常灵活,根据您的网络规模和电子邮件处理的需要,它们可以执行多种不同的功能。
每台SymantecMailSecurity8300系列设备都可部署为:
◆Scanner:
如果只部署为Scanner,SymantecMailSecurity8300系列设备将会过滤电子邮件。
您的安装可以有一个或多个Scanner。
SymantecMailSecurity8300系列设备可以与现有电子邮件或群件服务器一起工作。
◆控制中心(ControlCenter):
管理您的系统。
每个SymantecMailSecurity8300系列安装都有一个控制中心设备。
控制中心是一个基于Web的配置和管理中心。
每个SymantecMailSecurity8300系列安装都有一个控制中心,控制中心又承载着隔离区和支持软件。
可以从控制中心中配置和监控所有Scanner设备。
还可以使用控制中心配置和管理电子邮件过滤、SMTP路由、系统设置及所有其他功能。
控制中心同时还提供系统中所有SymantecMailSecurity8300系列设备的状态以及系统日志。
它还提供丰富的可自定义的报告。
可以使用控制中心来配置系统范围的和主机特定的详细信息。
如果正在使用隔离区,则可以使用控制中心来管理隔离区。
最终用户可以访问控制中心来查看隔离区中的垃圾邮件,还可以设置他们的语言过滤及禁止的和允许的发件人首选项。
隔离区是一个存储垃圾邮件并使最终用户能够访问他们的垃圾邮件的组件。
也可以将隔离区配置为仅供管理员访问。
隔离区的使用是可选的。
◆控制中心兼Scanner:
执行上述两种功能。
适用于小型安装。
注意:
SymantecMailSecurity8300系列设备既不为最终用户提供邮箱访问,也不提供邮件存储,因而不适合用作电子邮件基础结构中的唯一MTA。
在大多数配置中,SymantecMailSecurity8300系列设备不会过滤内部网络中发送或接收的邮件。
垃圾邮件、病毒、内容策略一致性、流量优化和电子邮件防火墙过滤不适用于内部邮件通信。
3.3.SMS8300的工作原理
使用SymantecMailSecurity8300系列,您不仅可以设置功能强大的邮件过滤系统,以通过一种集中的自动化方法来保护您的客户和网络,还可以针对您的系统定制某些功能。
这种高度可扩展结构的实际效果是使客户卸去了不需要的电子邮件的负担,保护了您的电子邮件基础结构和数据,并且节省了您的系统和人力资源。
当垃圾邮件在Internet中传输时,它们会通过Symantec的全球探查网络(ProbeNetwork),该网络包含大量电子邮件地址。
探查网络基于对垃圾邮件方法的最新研究,共包括两百多万个吸引了最新垃圾邮件的探查帐户。
探查网络将可能的垃圾邮件实时发送给Symantec的Brightmail分析和操作中心(BLOC™)进行评估。
如果邮件被验证为垃圾邮件,BLOC将向您系统中隔离类似邮件的Scanner发布反垃圾邮件过滤器。
BLOC包含三大洲上的多个中心,它们协同工作,组成了跨越全球的全天候防护网络。
BLOC技术人员会协助和监控先进的自动化工具,来评估邮件是否包含垃圾邮件的新变种,然后发布过滤器来标识和捕获类似的邮件。
BLOC不断地向您系统中的Scanner提供更新的过滤器。
BLOC技术人员在确认可能的垃圾邮件识别方面起着非常重要的作用。
这种自动化操作和人为干预的结合使得SymantecMailSecurity8300系列设备可以实时调整以适应不断变化的垃圾邮件技术,从而在过滤垃圾邮件时提供无与伦比的灵活性和准确性。
BLOC中心如下图所示:
BLOC创建的大部分过滤器都可用于阻止特定的垃圾邮件攻击。
垃圾邮件攻击可能包含数千个相同的或类似的邮件。
通过对特定的攻击使用专门的过滤器,BLOC可以保持极低的误报率(不到百万分之一)。
Symantec还利用了一组精心设计的启发式过滤器,这些过滤器专门针对垃圾邮件的共有模式,并向我们的垃圾邮件的防御库中添加主动元素。
由于模式匹配方法中固有的问题,常见的启发式过滤器可能会导致误报的大量增加。
SymantecMailSecurity8300系列启发式过滤器经过精心的设计和测试,可防止误报的大幅度增加。
Symantec资源还可以增强SymantecMailSecurity8300系列设备在您的站点中执行的基于来源的过滤功能。
流量优化和电子邮件防火墙过滤基于在您的站点中收集的数据以及Symantec通过Internet收集的合计数据。
这使得Symantec能够可靠地掌握不断更新的各个来源域的信誉状况。
将这些信息与在您的站点中收集的本地信息结合可确定如何以最佳方式处理每个电子邮件来源。
SymantecMailSecurity8300系列设备采用了Symantec安全响应中心提供的业界领先的病毒防护技术,并在Symantec安全响应中心提供最新的病毒定义和过滤引擎后立即实施它们。
在Symantec安全响应中心,业界最大的专家工作组共同致力于识别病毒,并在病毒进入网络和在企业中传播之前消除病毒。
3.4.SMS8300体系结构概述
SymantecMailSecurity8300系列设备按如下方式处理邮件。
为了便于讨论,我们的示例邮件通过FilteringEngine传递到TransformationEngine,没有被拒绝。
邮件以下面的方式通过设备:
■在网关中,垃圾邮件抑制检查邮件的IP地址,以确定它是否来自已知的垃圾邮件源或携带病毒的电子邮件源。
■传入连接通过TCP/IP到达入站MTA。
■在接受连接之前,入站MTA将邮件的IP地址发送到电子邮件防火墙以检查它是否是已知的垃圾邮件源或携带病毒的电子邮件源。
如果不是,入站MTA将接受该连接并将邮件移动到它的入站队列中。
■FilteringHub接受邮件的副本以进行过滤。
■FilteringHub参考LDAPSyncService目录来扩展邮件的分发列表。
■FilteringEngine确定每个收件人的过滤策略。
■防病毒和可配置的启发式过滤器确定邮件是否受到感染。
■内容遵从性过滤器扫描邮件以检查它是否包含可配置词典中定义的受限附件类型或单词。
■反垃圾邮件过滤器将邮件元素与Symantec安全响应中心发布的最新过滤器进行比较,以确定邮件是否是垃圾邮件。
此时,系统还会根据最终用户定义的语言设置检查邮件。
■TransformationEngine根据过滤结果和可配置的组策略执行相应的操作。
3.5.SMS8300系列功能介绍
3.5.1.电子邮件防火墙
电子邮件防火墙-电子邮件防火墙是第一个防护级别,它分析传入的SMTP连接并在邮件在过滤过程中得到进一步处理之前启用优先响应和操作。
电子邮件防火墙具有扩展的功能,如下图所示:
◆账号搜集攻击(DHA)防护-检测并停止账号攻击和搜集电子邮件地址的其他攻击尝试。
账号搜集攻击是针对特定域上由词典生成的收件人地址的大量攻击活动。
DHA不仅会消耗目标电子邮件服务器上的资源,还会向垃圾邮件发件人提供有价值的有效电子邮件地址列表(以进一步发起垃圾邮件攻击)。
要使用DHA防护,必须启用LDAPSyncService。
◆攻击优先-通过检查从传入的IP地址接收的邮件的频率和质量来检测可能的垃圾邮件、病毒和账号搜集攻击。
电子邮件防火墙会跟踪在给定时间段内,来自给定IP地址的邮件中有多少被标识为垃圾邮件或标识为包含病毒。
◆管理员定义的禁止的发件人-替组织识别出禁止的发件人(由IP地址标识)。
可以在DNS或本地级别标识发件人。
来自禁止的发件人的电子邮件可以根据管理员选择的方法进行处理。
◆SMTP连接管理-电子邮件防火墙可以基于IP地址与错误邮件或无法识别的收件人的频率之间的相关性执行操作。
可以将来自滥用邮件发件人的连接转移到“处罚箱”,从而使他们在指定的时间段无法发送电子邮件。
还可以将电子邮件防火墙配置为返回RejectSMTPConnection或DeferSMTPConnection命令以响应不受欢迎的发件人。
◆集成的发件人信誉判断服务数据-电子邮件防火墙可以根据发件人配置文件和来自发件人信誉判断服务的信誉判断数据自动禁止或允许SMTP连接。
发件人信誉判断服务利用了Symantec探查网络的影响力和可见性以及从过滤统计信息中精选的发件人数据。
◆发件人验证-可以将电子邮件防火墙配置为使用发件人策略架构(SPF)对邮件进行验证,并对验证失败的邮件执行多种操作中的任何一种。
3.5.2.TCP层流量优化
流量优化可设定合法通信来源的优先级,并限制发送垃圾邮件的来源,从而减少网络中的下游负载。
垃圾邮件发件人无法强制邮件进入受保护的网络,因此他们的垃圾邮件只能备份在他们自己的服务器上。
SymantecMailSecurity8300系列能够在本地识别攻击并进行流量优化以响应这些攻击。
大多数同类方法通常都在第7网络层(应用程序层,SMTP协议所在的层)中过滤电子邮件。
但是,在SMTP应用程序到达时,滥用和不适宜的邮件发件人已经消耗了邮件服务器和网络资源。
与之相反,SymantecMailSecurity8300系列设备中嵌入的获得专利的流量优化功能在第3和第4网络层(即网络级协议层)中运行。
它不处理邮件,而是对组成邮件的数据包和那些数据包所经过的网络路径进行分析。
3.5.3.反垃圾邮件技术
SymantecMailSecurity8300系列设备并入了多层垃圾邮件防护,利用了业界领先的技术,并由分布在全球的操作中心提供支持。
FilteringEngine利用20多种不同的过滤技术,这些技术共同作用来最大限度地提高垃圾邮件检测的效率(有效性达95%以上),并最大限度地减少误报(每一百万个邮件中不到一个误报)。
反垃圾邮件功能和技术的范围包括以下各项:
◆开放代理发件人-不断更新的开放代理服务器列表,这些服务器通常是垃圾邮件的传播渠道。
◆可疑垃圾邮件发件人-从中发出的所有电子邮件几乎都是垃圾邮件的不断更新的IP地址列表。
◆安全发件人-从中发出的电子邮件几乎都不是垃圾邮件的不断更新的IP地址列表。
◆允许/拒绝列表-设置组织范围的禁止的和允许的发件人列表(也称为黑名单和白名单)。
来自允许的发件人的电子邮件通常会被发送(除非它包含病毒或蠕虫),来自禁止的发件人的电子邮件会可以根据您选择的方式进行处理。
◆灵活的发件人指定-通过电子邮件地址/发件人名称、域名或IP地址指定允许的和禁止的发件人。
◆文本文件导入-导入允许的和禁止的发件人列表。
◆更新的URL过滤器-标识和过滤垃圾邮件发件人预置的URL,该URL通常经过伪装并且指向垃圾网页。
SymantecMailSecurity8300系列设备并入了优化速度的第四代URL技术。
◆更新的启发式过滤器-根据垃圾邮件和合法邮件的已知特征来评估传入邮件的内容的主动过滤技术。
包括语言不可知启发式扫描和语言可知启发式扫描。
◆BrightSig2-可消除随机化和基于HTML的过滤躲避方法的签名技术。
◆附件签名-针对特定的MIME附件,例如,特定垃圾邮件攻击中使用的色情图像。
◆标头过滤器-基于实时攻击或垃圾邮件中存在的共性或倾向的有针对性、基于正则表达式的严格过滤器。
◆正文散列签名-基于邮件正文的签名技术。
◆可调整的可疑垃圾邮件阈值-可以使用站点特定的可疑垃圾邮件定义来进行更严格的过滤。
◆10分钟更新-每隔10分钟过滤器都会通过安全HTTPS从Symantec网站自动下载到客户站点。
无需管理员干预。
◆语言标识-可以将邮件文本识别为属于11种语言中的某一种。
随后,软件会只运行适用于该邮件语
升级会员 