TurboEx邮件系统安全特性介绍系列(六):一体化邮件网关
企业邮箱作为企事业单位必不可少的对外和内部主要信息传输工具,承载着大量重要信息,电子邮件内容的泄露或篡改会给单位和个人带来无法估量的损失,同时电子邮件也是企业宝贵的数字资产,在当前国际关系复杂多变、互联网攻击概率日益加大的形势下,对邮件服务器系统的安全控制能力和开发商的研发技术实力要求更加突显。
拓波软件作为中国电子邮件行业领域的领先者,向企事业单位提供全面有效的安全防护方案,从系统层到用户层的每一个环节都提供了业内全面的安全控制与威胁防护功能,主要分为以下九方面:
数据加密 | 防攻击 | 防盗用 |
反垃圾病毒邮件网关 | 多维安全访问控制 | 多种数据审核机制 |
用户安全操作管理 | 报警机制 | 安全功能快速二开 |
客户可以根据需求定制邮件系统安全管理策略与方案,本篇介绍TurboEx安全特性功能(六):一体化邮件网关。
TurboEx无缝集成拓波软件自主研发的TurboGate安全邮件网关,提供安全访问全面防护、高度安全防范机制。
TurboGate反垃圾邮件网关海量数据库从用户处大量接收每天约5000万次的垃圾邮件举报,基于海量垃圾邮件仓库与拓波大数据分析技术对垃圾邮件特征机型快速的汇集和分析,提炼出实时更新的垃圾邮件特征库,供TurboGate AntiSpam深度学习与计算。TurboGate AntiSpam是一个非常有弹性的智能垃圾邮件评分引擎,它根据企业用户的业务特征、垃圾邮件规则库和得分阀值来为每台反垃圾网关智能建立垃圾邮件判断机制,高度匹配每个企业的业务邮件特征。
- 实现对附件内容做垃圾检测的邮件网关;
- 实现对图片做垃圾检测的邮件网关;
- 实现双向拦截垃圾邮件的邮件网关;
- 垃圾邮件摘要报告,保证零误判;
1.九层反垃圾反引擎
TurboEx采用九层反垃圾综合评分引擎,根据垃圾邮件的各种特征对邮件建立各项可信度分值,根据不同单位邮件内容的特点来灵活调整每个特征的权重,同时结合拓波云反垃圾规则库,对每封进出邮件进行综合评分,根据分值判断是否为垃圾邮件,垃圾邮件的拦截率为99.9%或以上,零误判。
反垃圾后台设置示例图
采用的反垃圾技术:
第一层:网络控制层
经验分析,发送垃圾邮件的服务器通常会同时大批量向某些域的多个帐号发送垃圾邮件,对于这种发送垃圾邮件方式,可通过设定一定的网络访问频率控制进行有效的阻隔。TurboEx针对这种攻击提供两种设置方式,并自动将发送垃圾邮件的IP归为垃圾IP(SpamIP)列表。
通过SMTP服务层拒绝明显的发送垃圾邮件SMTP连接,大大减轻后台投递系统和反垃圾引擎的负担。
通过统计分析,我们发现发送垃圾邮件的SMTP连接具有以下特点。
- 同一IP同时的smtp连接数非常大。
- 同一IP一段时间内,smtp的连接频率非常高。
一般出现这两种情况,都表示源发件人极有可能在发送垃圾邮件。
SMTP服务配置图
通过设置以下这两个参数可控制这类型的smtp连接,从而截断发送垃圾邮件的源头:
系统设置-》SMTP服务-》一分钟内同一IP允许访问次数。
同时设置:
系统设置-》SMTP服务-》启用智能反垃圾IP功能参数,把符合以上两个条件的IP地址自动加入系统的智能反垃圾IP列表中(SmartSpamIP),当以后系统碰到这些IP连接时,直接拒绝。
可通过:
系统监控-》智能反垃圾IP列表 查看系统目前智能反垃圾IP 列表。
注:如互联网是经过反垃圾网关再接入邮件系统,由于邮件系统的所有smtp连接都来自反垃圾网关,所以smtp服务反垃圾技术不再起作用,需要修改配置将以上两个参数设为-1,否则会有系统smtp服务故障。
第二层:来源分析
根据垃圾邮件发送者IP的地理位置,与 APNIC 的IP信息库核对结果,确定来源是否真实,如果真实则通过,否则可能为可疑邮件。因为IP 来源无法伪装,所以这个反垃圾策略比较有效。
第三层:黑名单
通过黑名单, TurboEx系统可设置屏蔽任何一个IP,一个网段;也可屏蔽任何一个发信人,一个域。
实时黑名单(RBL)主要利用互联网公开的RBL资源判断是否为垃圾邮件。RBL 一般是通过DNS 查询的方式提供判断某个IP或域名是否是垃圾邮件发送源的服务。另外,由于国外大多数RBL都对来自中国的ip 有“歧视”,所以我们并不能完全依靠RBL 来判断一封邮件是否是垃圾邮件,只能根据RBL查询结果判断该邮件是否垃圾邮件的可能性。可设置以下参数定制RBL:
- RBL服务器:指定RBL查询域名后缀。
- DNS查询类型:根据具体的RBL要求指定DNS查询记录类型。
- 匹配表达式:指定RBL查询结果的匹配模式,表达式格式采用perl正则表达式,如果为空,则表示如果可查到RBL结果,则符合条件。
目前所知比较有效的RBL服务器为:
- xbl.spamhaus.org
- bl.spamcop.net
- cbl.anti-spam.org.cn
- cdl.anti-spam.org.cn
第四层:灰名单
灰名单技术源于:http://www.greylisting.org/。
灰名单技术基本假设是:病毒和垃圾邮件,通常都是一次性的,如果遇到错误,不会重试。
发垃圾邮件的软件不会对邮件服务器返回的错误做出任何重试,而只是简单的在日志里记录发送失败而已。而病毒引发的邮件风暴则更加不会识别邮件服务器返回的错误,因为这些病毒仅仅是简单的发送邮件,发送时根本不理会服务器的状态。
Greylist的设计大体上是基于一种重试的原则,即当收到某个IP想给某个收件人发信的会话时,它先简单的返回一个临时错误(4xx),并拒绝此请求,正常的邮件服务器都会在一段时间内(如半小时)重发一次邮件。如还是相同的ip地址和收件人,则判断此ip地址为合法服务器,予以放行。如果是非正常的邮件,那么或者将永远也不再进行重试,或者会疯狂重试,但由于间隔太近,而遭拒绝。因此,Greylist只要设置一个合适的放行间隔,就可以在很大程度上对这类垃圾邮件有着良好的免疫能力。Greylist的一大特点就是不会丢信,正规的邮件服务器认为4xx错误只是临时性、软性的错误,会隔一段时间重试,因此邮件还是可以投递成功。但Greylist的主要缺点是即时延迟(delay),延迟从几分钟到几个小时不等。对于一些对邮件及时性要求高的客户,Greylist可能不是一个很好的选择。
第五层:趋势分析
趋势分析原理为,所有垃圾邮件都有目标指向,比如:卖药广告邮件都会在邮件内容里指定卖药的电话、邮件或网站,如果不指定这些信息,发送垃圾邮件也就没有意义了。趋势分析法就是通过分析邮件里的电话、邮件或网站链接内容,通过匹配判断他的指向从而判断邮件是否是垃圾邮件。
第六层:邮件来源判断
主要通过分析邮件的来源,如:发件人IP,发件人,发件域等内容,来判断垃圾邮件的可能性。
第七层:内容过滤
通过邮件内容关键字分析,可为符合内容分析结果的邮件打上相应的垃圾邮件评分。这类规则的判断条件类似系统的过滤规则。可参考过滤规则设定来设定过滤评分内容,同时拓波云反垃圾规则库会通过收集客户报告的垃圾邮件的特点不断更新规则库,定期推送到客户邮件服务器更新。
第八层:主题分析引擎
主题分析原理是基于:同一类垃圾邮件的内容大多都相似,通过相似度进行分析,以确定是否为垃圾邮件。比如代开发票的垃圾邮件,内容都有“代开”,“发票”,“税”这类词,通过对同一类型垃圾邮件的统计分析,可以归纳这类垃圾邮件的主要关键字,通过关键字匹配度,确认是否是垃圾邮件。
第九层:TMSpamCheck引擎
TMSpamCheck技术是基于云计算的反垃圾技术,拓波通过收集终端用户反馈的垃圾邮件,统一分析,实时归纳为中心垃圾规则库。同时当客户邮件服务器初步检测到邮件可能为垃圾邮件时,即计算邮件的特征摘要,与中心规则库比较,以确定是否为垃圾邮件。
2.反病毒引擎
TurboEx系统支持多种杀毒引擎,并且内置著名的开源杀毒引擎ClamAV,对邮件类病毒具有99.9%的杀灭能力,同时支持嵌入式杀毒和网关杀毒自动定时更新病毒特征库。
ClamAV杀毒引擎特点:Clam AntiVirus是一款UNIX下开源的(GPL)反病毒工具包,专为邮件网关上的电子邮件扫描而设计。该工具包提供了包含灵活且可伸缩的监控程序、命令行扫描程序以及用于自动更新数据库的高级工具在内的大量实用程序。该工具包的核心在于可用于各类场合的反病毒引擎共享库。
未完待续,下期介绍TurboEx安全特性功能(七):报警机制,敬请期待。