安全生产CS邮件安全网关.docx
《安全生产CS邮件安全网关.docx》由会员分享,可在线阅读,更多相关《安全生产CS邮件安全网关.docx(17页珍藏版)》请在冰豆网上搜索。
安全生产CS邮件安全网关
IronPortC-Series邮件安全网关
技术建议书
IronPortSystems
2007年1月
1.简介
IronPort公司作为全球邮件安全的技术领先者,在垃圾邮件(anti-spam/anti-virus)的防护领域,具有无与伦比的技术优势。
IronPort的C-Series系列产品专门为大中型企业、电信运营商、企业用户设计,提供了一个软硬一体的产品。
IronPort成立于2000年,总部设在美国加州SanBruno,每季度的销售量增长为50%。
被Focus杂志评价为:
建设全球最可靠、最高性能的电子信息架构的公司。
IronPort的技术专注于邮件增值服务市场,主要的产品是专用MTA服务器和反垃圾邮件服务器。
IronPort公司的C-Series邮件安全网关的客户,遍布全球,其中包括著名的ISP、银行和企业:
2.垃圾邮件的现状
对于广大的Internet用户来说,每天不请自来出现在自己邮箱里的“垃圾”除了删除还是删除,除了让你觉得厌烦外,还浪费大量的邮件下载时间和带宽。
另一方面,垃圾邮件的泛滥也严重损害了电子邮件服务供应商的服务质量和正常业务(例如商业广告)开展。
更严重的是,伴随垃圾邮件传播的色情和政治反动内容正在造成无法估量的社会影响。
根据IDC的统计,现在全球每天60%的邮件被认为是垃圾邮件。
2.1什么是垃圾邮件
2000年8月,中国电信制定了垃圾邮件处理办法,并将垃圾邮件定义为:
向未主动请求的用户发送的电子邮件广告、刊物或其他资料;没有明确的退信方法、发信人、回信地址等的邮件;利用中国电信的网络从事违反其他ISP的安全策略或服务条款的行为;其他预计会导致投诉的邮件。
2002年11月1日,由中国互联网协会、263网络集团和新浪共同发起,中国互联网协会反垃圾邮件协调小组即日在北京正式成立,国内20多家邮件服务商首批参加了反垃圾邮件协调小组。
中国互联网协会在《中国互联网协会反垃圾邮件规范》中是这样定义垃圾邮件的:
所称垃圾邮件,包括下述属性的电子邮件:
(一)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;
(二)收件人无法拒收的电子邮件;
(三)隐藏发件人身份、地址、标题等信息的电子邮件;
(四)含有虚假的信息源、发件人、路由等信息的电子邮件。
”
3.目前的几种反垃圾邮件技术
Ø客户端过滤
普通用户通常利用一些常见的电子邮件客户端工具的分拣和过滤功能设定一些规则,把接收下来的电子邮件进行检查和匹配,对符合垃圾邮件特征(如来自某个发件地址,主题或正文包含特定关键字)的邮件执行自动删除操作。
Ø客户端工具
上一种方法的缺点是电子邮件必须在下载到用户的计算机后才能进行识别和处理。
这样,用户的网络资源还是会被垃圾邮件浪费掉了。
加装某些客户端工具可以在一定程度上弥补这个缺点,其原理是利用邮件下载协议(POP3或IMAP4)的一些特定指令先下载邮件的头部信息进行垃圾邮件的判断和识别。
Ø服务器端过滤
为了尽可能避免对用户网络资源的占用和浪费,有的服务供应商提供了WebMail服务,通过WebMail可以让用户在服务器上设定一些垃圾邮件的识别和处理规则。
这样,垃圾邮件就可以在用户提取前被剔除掉了,进一步节省用户下载邮件的时间。
Ø防火墙
即便如此,垃圾邮件毕竟也已进入了服务供应商的系统,仍然会占用服务供应商的网络出口带宽、主机处理时间和磁盘存储资源。
于是,有的服务供应商便利用防火墙来禁止部分被怀疑发送垃圾邮件的Internet主机向其发送邮件,把部分垃圾邮件完全堵塞在系统之外。
4.传统技术的缺陷
不难看出,上述的技术方案存在着这样的一些缺陷:
Ø没有标准。
目前中国的各个邮件服务商往往自己定义一些规则,你认为是垃圾邮件,他却不认为是垃圾邮件,严重干扰了正常邮件的发送。
Ø维护困难。
需要手工为每台客户机或服务器分别配置垃圾邮件判别和处理规则。
Ø实时性差、准确性低。
由于规则维护困难,所以规则更新周期很长,难以因应新出现的垃圾邮件进行适当调整。
Ø缺乏日志、统计和反馈机制。
对于所采取的动作没有详细的日志可供查阅,也不可以对已作操作进行rollback。
对于各种防范手段的成效没有统计,对当前服务情况也没有实时的统计,难以优化。
Ø效率低,配置大量的垃圾邮件判别和处理规则,将会严重损害电子邮件系统的性能。
灵活性差,对垃圾邮件的判断依据和处理方法缺乏可调整的尺度,不能针对本性灵活多变的垃圾邮件作出最恰当的处理。
由于这些缺点的存在,现行的技术方案还远未能抑制垃圾邮件的泛滥,在一定程度上甚至还培养了大量垃圾邮件发送工具软件的成长,使得垃圾邮件的特征变得越来越模糊而难以判别。
5.IronPort安全邮件网关的技术特点
IronPort邮件安全服务器CSERIES安装在防火墙和服务器群之间,为进入和发出的邮件提供过滤和保护。
作为世界上拥有最高性能的网关平台,IronPortCSERIES为客户的邮件流量管理提供统一简单的使用界面。
5.1专用的MTA平台AsyncOS™
传统的操作系统使为一般多功能作业而设计的。
与其他应用不同,邮件安全网关有它的特殊要求,而传统的操作系统不能完全满足这种要求。
IronPort通过硬件/软件的高度整合,设计开发了专用的MTA系统平台:
AsyncOS操作系统。
这个系统是基于FreeBSD的内核,所有与邮件无关的服务模块被清除掉,并针对邮件业务的特点,专门开发了多项安全技术,大大提高了系统的高性能,高可靠性和安全性。
5.1.1无堆栈线程
在传统操作系统平台,每个线程都会被分配到特定的内存堆栈(memorystack)。
由于处理堆栈溢出错误(stackoverflowerror)是非常困难的,加上堆栈溢出(stackoverflow)很容易构成安全漏洞,因此系统一定会分配较多的系统资源给堆栈,这样一来大量的内存很快就被用光。
AsyncOS的无堆栈线程技术的独特之处在于它只在需要的时才会分配内存空间,而不需要专用堆栈。
这用高效率的内存使用政策不单只可以使并发线程的数量倍增,而且可以腾出更多的内存空间给文件系统的缓存,并可消除安全漏洞及堆栈溢出所致使的系统故障。
AsyncOS基于无堆栈线程技术,提高了系统的连接数,最高达到10,000个并发连接数,传统的MTA系统不超过400个连接数,是传统MTA平台的10-20倍以上。
5.1.2输入输出调度机制
AsyncOS系统基于I/O的需要而对系统资源进行调度。
在传统的系统平台,多任务优先级抢占机制(preemptivemultitaskingoperatingsystem)把系统控制按时段分配给每个任务。
这种轮流调度机制确保每一项任务都会获得分配CPU的某一预定时段。
这种方式用于邮件文件传送的话,效率是非常低的。
每次中央处理器执行一个新的任务时,都要消费资源进行上下文的交换(contextswitch)。
而对于邮件信息这种应用的特点是,文件数量多,文件小,这样频繁的上下文交换对系统的性能造成了极大的影响。
基于I/O的调度会按照TCP连接资源来分配每项任务的读写因而大大地降低上下文交换对性能的影响。
当有TCP连接时,基于I/O的调度会马上把系统资源分配给相关的任务直至连接不能再进行I/O为止。
这样一来,AsyncOS只会在任务能使用系统资源时才会获得分配,而不是机械式地对每项任务作出轮流调度资源分配。
这也是为什么AsyncOS在信息传送应用中的吞吐量能比传统的操作系统大10倍。
此外,由于线程转换总是发生在I/O完成以后,线程绝对不会在操作的过程中被中断。
每个线程的内存管理都被简化使效率进一步提高。
5.1.3AsyncFS文件系统
传统邮件平台面对的第二个架构的瓶颈是每个信息均需要分配一个特定的文档以供读写及删除。
当信息处理量达到每小时数以万计的时候,管理这些文档的开销会快速增长并影响到性能。
有一些应用依靠复杂连结的目录树(directorytrees)来解决这个问题,但成效不显著。
当信息队列变大而要管理的相关文件增加时,性能便会急速的下降甚至整个系统会停顿。
而且,传统的文件系统是经过优化以容许低时延的随机的数据访问及在系统发生故障时能快速的恢复整体的数据访问。
为了达到这一目的,这些文件系统会把inodes,文件资料区块的指标储存在硬盘。
因此,更新任何文件会涉及多次的硬盘访问以更新数据及inodes的更新。
AsyncFS是一个革命性的文件系统设计,它具有独特的数据结构专门为异步信息传送而设计。
首先,信息不是个别储存而是分批储存,这样可以减少基本读写操作的次数。
第二,每个控制信息传送次序的队列数据结构都会倍增。
而且,这些“inode队列”是储存在内存而非硬盘,这更进一步减少读写的操作。
异步文件系统是用于因特网信息处理的最佳系统:
快速的读写而且不受队列大小的影响。
快速的读写操作并没有牺牲系统安全。
当系统受故障而使内存的inode队列丢失时,AsyncFS会从硬盘读取信息数据并同时再生内存的inode队列以恢复信息传送。
AsyncFS不会象传统的文件系统那样需要快速随机数据访问,而且也没有相关的开销。
AsyncFS有突破性的性能并能在系统故障时保证数据的完整。
5.1.4防邮件攻击
邮件系统现在收到越来越多的邮件攻击,主要的攻击包括:
ØDDos攻击
ØDHA攻击(字典攻击,退信攻击)
Ø多重压缩攻击
Ø空文件攻击
Ø半连接攻击
这些攻击行为造成邮件系统负载过高,邮件传输延迟,邮件系统瘫痪,SMTP服务中断,甚至暴露公司用户帐号信息等。
AsyncOS作为专用MTA操作系统,具备了强大的性能和安全保护功能。
通过DHA技术,与保存用户信息的LDAP服务器集成,能够迅速的发现诸如字典攻击,退信的攻击行为,在向管理员发送告警通知邮件的同时,能够自动拦截可疑的IP地址。
AsyncOS系统提供了强大的并发连接数限制,同时AsyncOS作为专业的MTA平台,最高可以支持10000个并发连接数,使传统MTA平台的10-20倍,即使在出现严重的DDos攻击的情况下,仍能够保证足够的SMTP连接供邮件收发连接使用。
AsyncOS能够针对发件方的IP地址或主机名,进行限制和拦截,主要限制策略包括:
Ø每个连接的最大连接数
Ø每封邮件的的最大收件人书
Ø接收的最大邮件尺寸
Ø单个IP的并发连接数
Ø每个小时的最大邮件数量
Ø每个小时的无效收件人数(防DHA攻击)
Ø发件人域名校验
ØDomainKeys身份校验
ØBounceVerification退信校验
5.1.5DomainKeys技术
由于SMTP协议本身的缺陷,无法实现对发件人的身份校验,因此针对SMTP协议的补充,出现了DomainKeys技术。
DomainKeys是通过在邮件中,增加数字签名的方式,确保邮件的发件方不可以伪造,同时还可以保证邮件在传输过程中不会被修改。
IronPort邮件网关能够支持DomainKey技术,具体的实现过程是:
1)在IronPort网关上根据DomainKeys算法生成一对密钥串:
privatekey/publickey;
2)将publickey存放到DNS服务器上域名对应的txt字段,将privatekey存放到IronPort网关上;
3)当邮件经由网关外发时,网关会自动利用privatekey生成一个数字签名,插入到邮件的Header部分;
4)收件方接收到包含DomainKeys数字签名的邮件后,根据发件人的域名信息,从DNS服务器上找出txt字段包含的publickey,然后与邮件的DomainKeys数字签名进行校验,确认邮件的合法性和安全性。
5.1.6BounceVerification退信校验
IronPort在解决退信攻击问题时,除了采用了LDAP检验用户名合法性的同时,还可以根据退信校验技术,发现和防止退信攻击。
退信攻击的实现过程是:
1)在所有经过IronPort网关外发的邮件,都增加一个可以退信的标签Tag;
2)当邮件由于某种原因被发件方退回时,系统去识别邮件是否存在退信的标签信息;
3)如果退信标签有效,则将邮件投递到实际的用户邮箱中,如果没有退信标签或无效,则可以将邮件删除处理。
5.2反垃圾功能(Anti-Spam)
IronPortC-Series邮件安全网关提供业界中最有效的两层垃圾控制技术:
IP连接层和内容过滤层。
在IP连接层,IronPort利用独有的SenderBaseNetwork提供独特的信誉过滤功能,在内容层,利用IronPortAntiSpam内容过滤引擎技术,提供深层内容过滤。
5.2.1SenderBase名誉得分过滤技术
http:
//www.senderbase.org
SenderBase名誉过滤技术的作用,就是将那些不受欢迎的来访者拒之门外。
IronPort公司推出了一个电子邮件发送方IP地址的评级系统,该系统应该可以帮助互联网服务提供商确认来自负责的电子邮件服务提供商的信息。
IronPort公司的SenderBase数据库就可以对全球超过三分之一的邮件流量进行监控,并根据合作伙伴提供的邮件记录信息,分析和提取发送垃圾邮件和进行邮件攻击的IP地址,并对这些IP地址进行信誉评分,为在SMTP层限制垃圾邮件发送者,提供评定标准。
5.2.2深层内容过滤技术
深层内容过滤目前被全球认为垃圾邮件识别率最高的技术。
它独有的邮件内容hash算法最大限度的降低了系统资源的占用率,使每封邮件的判断仅仅需要一个数值即可;
深层内容过滤独有的探针技术,可以随时发现全球的垃圾邮件,平均每天3万条规则的服务,充分保证了客户在第一时间自动发现全球的垃圾邮件。
深层内容过滤独有的URL过滤技术,可以发现邮件正文中包含的垃圾邮件信息的链接。
垃圾邮件不能伪造的内容中,URL是不能伪造的,这就可以让我们发现邮件中的这些信息,从而识别垃圾邮件。
5.2.3基于上下文分析的扫描引擎(CASE)
IronPort的基于上下文分析的扫描引擎(CASE),是一项独特的的威胁防御技术,能够发现和防御各种混合型的威胁。
CASE采用了高级的学习技术,模拟人工的逻辑分析来评估一封邮件是否是垃圾邮件。
CASE能够防御传统的和复杂的zombie-based的垃圾邮件。
CASE在模拟人工的高级技术,对邮件做全文的扫描分析,着重分析四个方面的内容:
谁发出的邮件,邮件中的链接指向了哪里,邮件的结构是如何构建的,邮件的正文是什么。
根据以上的分析结果,做出准确判断。
5.2.4图片垃圾邮件过滤技术
IronPortAnti-Spam针对越来越多的图片垃圾邮件开发了独特的图片垃圾邮件过滤技术。
图片垃圾邮件包含了随机变化的图片信息,传统的基于文本内容的过滤技术难以识别。
IronPort结合上下文分析技术的技术上,采用原始解码技术,从邮件原文中分离出来Image部分的编码,并还原为图片的二进制代码。
通过查找像素的编排模式和规律,分析颜色的异常变化,排除各种随机变化的的代码,最终识别出图片的的模版信息。
经过原始解码技术过滤的图片垃圾邮件,超过90%的能够被识别和过滤。
5.3邮件通道控制
信誉过滤功能根据发件人的信誉度自动的执行处理政策。
对于信誉低的发件人,将在传输时被扼杀。
使用IronPortCSERIES可以非常容易、快速的控制邮件流量。
比如,你的商业合作伙伴可以比其他客户具有不同的流量等级。
根据SenderBase提供的IP地址、域名、组织,发件人被确定分配到不同的流量策略组。
5.4邮件流量监控
IronPortC系列提供了邮件流量的监控统计模块,邮件流量监控提供了所有流量的统计报表。
可信赖的合作伙伴将在报表中很容易的配制流量规则。
对于最近出现的流量变化很大的发件人,将被明显的标记出来,仅需鼠标的几次点击就可以完成分类操作。
对于发送的邮件也有类似的监控,接收邮件的主机和队列将在视图中显示出来。
使用IronPortC系列监控模块,可以实时的监控到流入、流出的邮件信息,其中包括了发件人的IP地址、发件人的域,IP地址所属的组织、国家、地理位置、以及这个组织的登记信息。
同时显示正常邮件的发送、接收量,发现的垃圾邮件的数量,邮件的增长率,发信IP的全球信誉得分等。
5.5高性能
最为世界上最快的网关产品,单台C600的处理性能达到了每小时处理50万封(每封邮件15K)邮件,单台C300的处理性能为14.4万封(每封邮件15K)每小时。
5.6别名功能
别名(alias)列表可以提供信息的路由、域名的化妆。
可以隐藏内部网络的详细信息,可以为多域名提供路由。
同时根据客户的不同用户数和邮件流量的不同,提供C30和C10的产品供客户选择。
5.7防病毒技术
IronPortC系列安全网关采用欧洲著名的Sophos的防病毒技术。
Sophos公司是全球最早的作防病毒的厂家。
他的技术主要为ISP/ICP/Enterprise客户使用,在服务器防病毒领域具有领先的技术和市场占有率。
5.8VOF主动式病毒预防技术
传统的防病毒技术都是被动式的,IronPort全球独有的病毒爆发预防技术,可以第一时间发现大规模的新病毒爆发,从而为客户赢得时间。
6.系统介绍
6.1网络结构
IronPortC系列放置在用户现有的邮件服务器和网络防火墙之间。
它们之间通讯的协议为标准的SMTP协议,所以不存在系统兼容的问题。
同时CSERIES可以支持高可靠的双机互为备份的的要求。
对于一些要求很高的客户来讲,要求几年内的服务不中断的要求,我们可以采用2台以上的C系列设备,作为一个集群提供服务。
6.2工作原理
IronPortC系列的安全邮件网关功能包括了以下的主要模块:
6.2.1SendBase&IronPortReputaitonFilter
SenderBase:
因特网领域卓越的发件人信誉度服务商,全球9000个ISP、大学和企业使用SenderBase提供的数据来判断和防御垃圾邮件。
能够提供如此之大的数据统计工作,SenderBase具有独特的标准,提供了邮件发信人的全球发信量、发信数据量、网络参数包括IP地址、用来发信的IP地址、发件人所在地区等。
根据这些信息,CSERIES可以得到每一封发来的邮件的源地址的实时得分(这个得分由sendbase的数据库提供)。
那么管理员可以根据这些分数来判断发件人应该属于哪一个组和分配合适的邮件流量。
比如,分值在–10到-5之间的邮件,将被拒绝;-5到0之间的邮件将被控制流量;0到5之间的邮件将给通过过滤和深层内容过滤的检查;5到10之间的邮件将直接通过。
IronPortReputationFilter将和Sendbase模块一起完成以上的动作配合。
6.2.2IronPort内容过滤(MessageFilter)
IronPortMessageFilter可以对邮件进行信头(发件人、收件人、主题等),信体(关键字等)的过滤。
对于符合条件的邮件,可以进行删除、反弹、记录、密送管理员、投递等动作。
而且IronPort提供了一个程序化的规则编写方式,类似于C语言的表达,更符合管理员的灵活处理。
下面是一个例子:
find:
if(mail-from==‘@’andrcpt-to==‘@’)
{
log(‘find.log);
if(body-contains(‘XXX’))
{
drop();
}
}
☐过滤的参数
Ø发件人邮件地址
Ø收件人邮件地址
Ø邮件主题
ØX-Header
Ø邮件正文中的关键字
Ø附件类型
Ø附件名称
Ø邮件大小
☐过滤动作
Ø修改发件人
Ø修改收件人
Ø修改主题
Ø删除邮件
Ø反弹邮件
Ø隔离邮件
Ø密送邮件给管理员
Ø发送警告信息给发件人、收件人、管理员
Ø标记邮件
6.2.3深层内容过滤技术
IronPortCSERIES结合了深层内容过滤的垃圾邮件过滤技术。
借助于IronportAsyncOS操作系统,深层内容过滤提供了高性能性和高准确性。
深层内容过滤具有垃圾控制的领先技术,为众多企业和ISP提供服务。
它的探针技术,是目前行业中最有效的和准确度最高的。
管理员可以有几种选择还处理被深层内容过滤发现的垃圾邮件。
包括标记信头,加入X-header标记,发送警告给用户,删除或发弹这些信息,或者这些动作组合操作。
深层内容过滤系统可以和IronPortCSERIES的邮件流量监控模块共享这些实时的和历史的数据和报表。
6.2.4Anti-Virus技术
Sophos公司的anti-virus技术很好的融和在IronPort的网关中。
对于发现的病毒邮件,Sophos的技术可以让管理员灵活的设置处理策略。
对于病毒邮件的处理方式,管理员可以设置:
Ø清除病毒
Ø删除邮件
Ø投递邮件
Ø反弹邮件
Ø通知管理员
Ø通知发件人
Ø通知收件人
Ø增加警告内容
Ø定时自动升级病毒库(每小时、每天、每周等)
6.2.5VOF技术
什么是VOF?
VOF(VirusOutbreakFilters)是IronPort公司提供的主动式智能防病毒爆发模块.
VOF的原理简介:
(1)传统的防病毒技术(比如Norton,Trend,Sophos等)都是后续的,被动式的防毒.都是病毒爆发8-12小时后,更新解毒代码.IronPortVOF不同于这些技术,VOF主要用来跟踪和隔离大规模的病毒爆发,强调的是实时的有效跟踪,和隔离技术,并不解毒.因为新病毒爆发的时的8-12是最危险的,这时候传统的防病毒技术无能为力.VOF就是解决这8-12小时的问题的.
(2)现在的新病毒很多都是通过邮件传输的,一般都是以附件方式,因为IronPort的SenderBase可以监控全球25%的发信IP,即25%的全球邮件流量.
一般情况下,某种附件(或每种文件名)在全球的传输量是基本固定,有规则的变化,当病毒爆发的时候,SenderBase跟踪到了这个变化的曲线,所以就可以通知所有的IronPort网关,当这类附件的邮件进入的时候,就可以根据管理员的设置,把它隔离到缓冲区(隔离的时间也可以设置).
7.IronPortC-SERIES与其他反垃圾技术的比较
功能
IronPortC-SERIES
其他反垃圾技术
说明
中心数据库监控全球IP
Yes
No
IronPortSenderBase
管理员输入黑/白名单
Yes
Yes
虚拟网关技术
Yes
No
单服务器独立管理多IP技术
HAT/RAT技术
Yes
half-baked
DominaKey技术
Yes
No
BounceVerification技术
Yes
No
DestinationControl
Yes
No
对不同的域/IP设置TCP连接数数等
发件人强制重写
Yes
No
防止匿名发送
邮件多通道技术
yes
no
对不同的邮件分类控制
动作:
continue
Yes
No
缓冲进一步处理
动作:
拒