梭子鱼邮件安全整体解决方案

大型企业

整体解决方案

应用背景

系统是当前企业最重要的信息沟通手段之一。其方便快捷低成本等特性使得的使用成为目前人们工作生活的日常习惯。但是由于垃圾邮件的肆虐，企业的系统往往被大量的垃圾邮件及病毒邮件所困扰。另一方面，未经审计的系统也容易被滥用，泄露企业机密，或者发送与企业无关的邮件。

博威特公司是全球应用安全领导企业之一，自2002年起开始从事邮件安全的研究，并形成了一套完整的邮件安全解决方案。博威特公司认为完整的邮件安全解决方案应包括三个方面的内容：

1 邮件系统自身的安全。

邮件系统应符合相应的规范：防止黑客或其他未授权用户非法访问邮件服务器；防止遭受病毒感染；关闭relay并对SMTP连接作相应限制；开启SMTP认证等。在2003年以前国家信产部提出的关于邮件安全主要内容就是这些。随着技术的发展，邮件系统厂商均能很好的支持上述功能。博威特公司作为安全的领导者，在实施邮件安全整体解决时，将会帮助客户检查邮件系统自身是否存在安全隐患，并提出修正建议。

2 反垃圾邮件系统

自2003年起，由于垃圾邮件迅速增多，邮件系统本身的垃圾邮件过滤功能薄弱，企业纷纷购买专业的反垃圾邮件网关产品对垃圾邮件进行过滤。博威特公司推出的梭子鱼反垃圾邮件产品是其中的佼佼者，目前全球用户数超过5万家，国内用户近千家，市场占有率遥遥领先。梭子鱼对垃圾邮件的过滤率高达96%-98%，能够完美的解决垃圾邮件问题。

3 邮件储存网关。

自2006年起，随着企业在运营管理、内部控制和法规遵从方面的要求也越来越高。按照SOX的要求，所有可能最终涉及财务报告的内部资料均需存档以备核查，因此，公司的邮

件消息需要有完整、可靠的存档，并在需要时可迅速查询。对此，博威特公司积极响应，推出了梭子鱼邮件存储网关来帮助企业实现对合规性的高要求。梭子鱼邮件存储网关是一款硬件和软件集成的解决方案，它可以帮助企业用户存档发送和接收到的所有邮件。梭子鱼邮件存储网关自动存储并且实时索引所有邮件，使授权用户可以进行快速地查和取回邮件。

梭子鱼邮件安全整体解决方案

整体说明：

1在企业现有的网络架构下，采用一台或两台高端型号的梭子鱼反垃圾邮件产品作为反垃圾邮件网关对来自互联网的邮件进行垃圾邮件及病毒邮件的扫描，过滤完成后，将正常的邮件发送到邮件服务器上。

2 在现有网络架构下，安装一台梭子鱼高端型号邮件储存网关，对所有进出邮件进行存储备份。

●解决方案拓扑图

Journaling Deployment

实施方案

1．建议将梭子鱼垃圾邮件防火墙，邮件存储网关和邮件服务器一起，物理并联，部署在DMZ区域。

2．推荐采用梭子鱼垃圾邮件防火墙采用600型号，将MX记录更改到梭子鱼上，这样来自互联网的邮件将先发送到梭子鱼上，梭子鱼过滤完成后发送到邮件服务器上。为避免在整个邮件路由过程中的单点故障，我们采用2台600进行冗余，实现对邮件数据的同步，并且提高整体的邮件处理能力。

3．在邮件服务器上设置Smarthost，将所有外发的邮件发送到梭子鱼上，梭子鱼记录扫描后发往Internet。

反垃圾邮箱4．开启后台邮件服务器的日记（journaling）功能，将需要进行归档发送到邮件存储网关650型号上；但推荐使用梭子鱼反垃圾邮件的journaling功能，将所有发送和接收的邮件发送到邮件存储网关上。

5．通过启用邮件存储网关的remote journal account功能，自动从邮件服务器抓取journaled messages，推荐使用IMAP协议，可以在抓取的过程中，保留相应的附本在邮件服务器。邮件存储网关会自动对所有归档邮件进行索引，分类，分用户管理。

6．邮件存储网关的外部存储管理功能可以配合支持SMB/CIFS的存储服务器，实现raid 0和raid 1的存储空间扩展，避免因为邮件存储网关的故障导致数据的丢失。

梭子鱼反垃圾邮件产品介绍

1 梭子鱼反垃圾邮件的工作原理

梭子鱼十二层过滤模型图

每一封进入梭子鱼的邮件，都要经过多达十二层的反垃圾过滤，只有通过了全部十二层过滤，才会由梭子鱼转发给邮件服务器，从而保障了邮件服务器不受垃圾邮件侵扰，这十层过滤依次是：

1）拒绝服务攻击及安全防护层：可有效地阻止针对邮件服务器的DoS或DDoS攻击。

2）速率控制：该层检查每个IP的连接频率，如超过用户定义值，则阻止其连接，直至符合规定。该层还可限定每连接邮件数、每连接时长等。保护邮件服务器免受海量邮件攻击。

3） IP过滤层：该层对邮件的IP来源进行分析，阻止不良IP来源的邮件。包括梭子鱼实时黑白名单库分析，国际国内公共RBLs分析，用户自定义的IP黑白名单分析。该层可过滤超过30%的垃圾邮件，在某些地区甚至可阻断90%以上的垃圾邮件。

4）发送者验证：该层对发件人的合法性进行分析，阻止不良或虚假的发件人。包括：发件人域名合法性检测，真假性检测，是否伪造成别人的域在发邮件，是否可以通过SMTP认证等。

5）收件人验证：该层对收件人的合法性进行分析，拒绝不存在的收件人邮件。包括：是否属于转发判断，通过SMTP或LDAP方式查询收件是否存在。通过上述检测，有效防止字典攻击，目录攻击。

6）双层病毒防护：采用open resource的clamd防毒引擎以及梭子鱼公司原创的防毒引擎，进行严格的双层交互病毒防护。不断可以防止各种病毒，还能够识别网络钓鱼邮件及部分间谍软件。该层也对压缩文件进行病毒检查。

7）用户自定义规则：用户自定义的各种规则的检查，如关键字检查、附件类型等。

8）垃圾邮件指纹检查：该层依托梭子鱼庞大的邮件指纹库进行核查。梭子鱼垃圾邮件的样本来源有，1 博威特公司在全球设置的大量蜜罐。这是指纹样本的主要来源。2 全球数万台梭子鱼分类出的垃圾邮件。3 某些型号的梭子鱼用户个人发送的垃圾邮件样本。

9）意图分析：该层依托博威特公司建立的bsf数据库对邮件中的URL地址进行检查。梭子鱼时最早采用意图分析技术的产品。博威特公司每天更新数百个URL地址。

10）图片分析：从2006年6月起，图片垃圾邮件占垃圾邮件的比例已经超过1/4。传统的过滤技术无法对图片进行识别过滤。博威特公司一直关注和监控互联网垃圾邮件的最新变化和趋势。最早发布的图片垃圾邮件预报和预警。又最早提出了图片垃圾邮件的解决方案。即以第三代OCR技术为主，以邮件指纹技术为辅的方法对图片进行识别。

11）贝叶斯分析：贝叶斯分析是最经典的反垃圾邮件技术之一，它对邮件的可能性进行推理分析。贝叶斯技术使得梭子鱼能够根据不同用户的垃圾邮件及正常邮件特点，有针对性的进行判断。提高过滤精度，减少误判，贝叶斯技术使梭子鱼更加“聪明”。

12）垃圾邮件值评分：根据规则对邮件进行评分，并整合垃圾邮件指纹检查、贝叶斯分析给出的评分，给出邮件的最终得分。

这十二层过滤经过了精心的安排，其检测过程符合四条法则：

垃圾邮件终止法则：若某一层过滤判定该邮件不合法或为垃圾，则立即阻断该邮件，结束进程，后面的各层检查不再进行。

按序检查法则：一个完整的smtp邮件发送从helo命令开始，因此梭子鱼从该进程的第一条命令开始依次进行检查。如发现为垃圾，其余数据将不再接收。

低消耗优先法则：占用系统资源较少的过滤层优先，耗费系统资源大的过滤层靠后。这样，系统能以最少的消耗处理最大量的邮件。

安全优先法则：涉及到系统重要安全的检查先进行。

2 梭子鱼反垃圾邮件的优势：

反垃圾邮件技术优势：梭子鱼采用了业界最先进的分层过滤技术，并使用了多种高级内容检测技术，如图片分析技术、意图分析技术、贝叶斯过滤技术、邮件指纹技术、PDF文件过滤技术等。梭子鱼中心更7*24小时监控互联网络，即使升级产品，确保能够过滤最新型垃圾邮件。

处理性能强大：600型号设备是专门为大型企业及电信用户开发的，每天可以处理50-100万封垃圾邮件。

过滤率高误判率低：梭子鱼过滤效果广受赞誉，垃圾邮件过滤率可达96%-98%。

易于安装使用：安装简单，只需10分钟即可完成部署。Web管理界面，简单易懂，在线帮助详细。病毒库、垃圾邮件规则库自动更新，可以做到安装后不管。