close
打造安全的郵件環境》 旭昇資訊郵件安全解決方案

雙郵件閘道伺服器達成郵件過濾、稽核及HA,基於安全考量機分別備份正常與垃圾信件

旭昇採用2臺IronPort郵件閘道伺服器與2臺備份主機作為郵件過濾、稽核和備份的機制。IronPort的運作方式是先進行SenderBase信譽評等、病毒預防(Virus Threat Scoring Engine),然後執行內容掃描、Brightmail垃圾郵件過濾,最後執行Sophos掃毒,能夠同時解決垃圾郵件、郵件稽核、郵件攻擊、病毒及郵件傳輸等問題,並減輕郵件主機負擔。整個解決方案的總建置費用為234萬元,包含支援服務費用。

IronPort整合防護與稽核,分別備份正常與垃圾郵件
電周公司由qmail負責外部信件的收發,旭昇在規畫上將IronPort安置在防火牆後的DMZ區、qmail之前,作為信件進入郵件伺服器前的防護關卡。IronPort以一臺主機就能達成電周公司需求的功能,主要是因為產品整合SenderBase、Brightmail、Sophos防毒軟體與IronPort本身的內容過濾機制,透過這些軟體組成一套防護與稽核系統。

為了達到高可用性以及負載平衡的目的,旭昇用2臺IronPort相互備援,以電周公司200個郵件帳號、每人每天100封信件的流量而言,IronPort的C系列足以應付郵件流量。另外IronPort支援 SMTP Route,同一企業內的郵件會透過內部網路傳送,可以節省網路頻寬,提高郵件傳送的效率。

在備份策略上,旭昇使用2臺Dell主機進行隔離及備份,一臺備份通過層層檢查的正常信件,另外一臺則專備有問題的郵件,作為隔離區。在技術上使用同一臺主機備份並非難事,但基於安全性考量,旭昇建議分別隔離正常與異常信件。

從架構而言,旭昇的解決方案兼顧公司需求與安全性,不過,這樣的代價也不小,價錢是其他解決方案的二倍。

以信譽評等把關,阻擋郵件攻擊
IronPort在軟體防護架構上可分為5個部分,防郵件攻擊、病毒預防、安全監控、防堵垃圾郵件與病毒過濾。

前2個關卡是由SenderBase擔任把關的角色,它利用過去的歷史資料,將過往正常郵件的行為及特點當作基準點,配合持續不斷的監控郵件流量及郵件特徵,研判郵件正常與否。

在阻擋郵件攻擊方面,SenderBase引擎能對整體的傳送量、黑名單與白名單、LDAP比對、MX記錄檢測、DNS反查等機制予以過濾,並對每一個寄件者建立信譽評等機制(SenderBase Reputation Service ,SBRS),比對SenderBase的資料庫給予寄件者-10到 +10信譽評等,再根據評等分數,管理者可設不同的接收策略及流量策略,予以放行或拒絕。

另外,SenderBase還能主動偵測未知病毒。IronPort在遇到新種病毒爆發,而病毒碼來不及完成前,SenderBase機制會將疑似病毒郵件隔離,避免未知病毒侵害系統,等到確保沒有病毒威脅時才予以放行。

郵件內容掃描,落實企業安全監控
在電周公司的需求中,若是電子郵件出現某些關鍵字(敏感字眼)或傳送特定檔案類型時,需要有適當的過濾處理措施。Ironport在內容過濾方面可以根據網域、電子郵件地址或LDAP 群組設定不同策略,如以電周公司採用的Windows AD帳號,即可依群組訂定不同的層級,進行不同的設定。

IronPort的內容掃描可以對郵件進行信頭(發件人、收件人、主題等)、信體內容(關鍵字等)、附件檔名、附件類型等過濾,甚至能開啟附件檔並進行深層的內容掃描。對於符合條件的郵件,管理者可以設定執行退回寄件人、刪除、備份、正常傳送、通知系統管理者與主管等動作,確保公司重要機密及智慧財產不外流。

以Brightmail過濾垃圾郵件
郵件經過黑、白名單等機制比對,已經先行過濾部分郵件,之後再以賽門鐵克的Brightmail進行過濾。

Brightmail過濾垃圾郵件的處理方式是存取防垃圾郵件中心(Brightmail Anti-Spam Center,BLOC)的過濾名單,和不斷新增的防護郵件規則,藉此防堵大量發送的垃圾郵件。另外,為了降低誤攔率,垃圾郵件會暫存在垃圾郵件隔離主機中,並通知使用者,由他們自行登入決定取回或刪除。若使用者一直未登入,超過管理者設定的時限時,系統會自動刪去這些垃圾郵件。Brightmail的更新動作可自動完成,不需人工介入,可降低管理複雜度。

在防毒機制上,IronPort提供Sophos防毒引擎,配合電周公司用戶端使用的趨勢OfficeScan防毒軟體,形成雙層防毒機制,可更有效避免病毒郵件造成營運損失,確保企業內部的資訊安全。

Ironport跳過防火牆提升效能在目前的規畫上,整體架構能夠很順利的運作,但如果日後變動網路架構時,是否仍然能夠如此?旭昇認為透過IronPort二張網路卡的特性,能同時接網際網路和區域網路,讓郵件的進出不經防火牆,直接導向IronPort,有效提升郵件傳輸的效能。

目前所有的信件都必須從防火牆進來,再經過IronPort到郵件伺服器,而使用者要收發信件,也必須要通過防火牆之後,才能進到郵件伺服器收取,但是在防火牆進出之間,效能必將有所折損。

IronPort可以將所有SMTP(25埠)的郵件流量都從IronPort進出,不經過防火牆,再讓IronPort與內部網路連接,透過IronPort處理郵件後再丟給內部網路的郵件伺服器,如此一來將能夠提升信件處理效能,而且只開放25埠,不會因為少了防火牆的防護而產生安全漏洞。

郵件外寄與內送流程一致
IronPort五個防護架構形成郵件安全機制,這個安全機制不論在郵件外寄或內送的流程中都必須套用,經過層層檢查才能放行到負責收發信件的qmail,確保收發信件正常,發送出的信件也都能符合公司的安全政策。

這樣的流程固然安全,但從另一個角度來說,郵件執行的效能相對也會較慢。例如說發信者會發給黑名單的機率不大,外寄流程中黑名單檢查必要性就不高,另外有些防止郵件攻擊查核的功能,在外寄時同樣不具太大義意。外寄流程就企業角度上應該在掃毒、安全監控和備份的需求上較大,管理者應該在外寄流程中能針對企業需求,訂定適切的查核流程,對於系統的效能應該會有正面的助益。文⊙黃天賜
TOP
 
 
《打造安全的郵件環境》中華數位郵件安全解決方案

採用Multi-Way套裝版本,可快速建置,因應高可用性與負載平衡

中華數位採用SPAM SQR Multi-Way版和Mail SQR Multi-Way版兩套解決方案,分別負責處理垃圾郵件和郵件稽核。特別之處在於,Multi-Way版本需使用2臺伺服器,但報價時僅以1臺的費用計算,而且已內含軟硬體費用。整個解決方案共計122萬2000元。

此解決方案是將SPAM SQR和Mail SQR建置在防火牆的DMZ區,然後調整網路設定,把DNS的郵件交換記錄(MX Record)指向SPAM SQR,讓內送的信件流先經過SPAM SQR和Mail SQR,再流入郵件伺服器;而外寄信件在離開郵件伺服器之後,也要在郵件伺服器設定Smart Host,將所有外寄信件指向Mail SQR,再轉發出去。

這套解決方案採用市面上慣用的方式,組合垃圾郵件過濾和郵件稽核兩種類型的產品,由於廠商本身已經準備好制式套裝的Multi-Way版本,表示產品組合的銷售與服務已達標準化作業,在採購和後續建置流程上都會相當便利。

中華數位在SPAM SQR與Mail SQR上皆搭配Multi-Way版本,是各家郵件過濾與稽核防護專案解決方案中規格較為完整的,不過假如能在Mail SQR上能搭配可長期備份與儲存的設備,對已經備份在系統內的信件資料會更有保障,日後查詢信件內容時將更便利。

兼顧高可用性與負載平衡
為了不影響到使用者收發信件,SPAM SQR與Mail SQR均以MTA(Mail Transfer Agent,郵件傳送代理)架設,管理SMTP的信件流,不會影響POP3等其他網路協定。

在SPAM SQR和Mail SQR多種版本中,中華數位皆選用Multi-Way版本,以確保信件流不中斷及分散信件處理負載。Multi-Way版的彈性較單一設備大,企業可視郵件使用量的增加或異地備援方案的考量,繼續增加Multi-Way設備的數量。SPAM SQR 200 Multi-Way(含一年防毒授權)與Mail SQR 200 Multi-Way每臺費用為576000元。
由於電周員工需在外部網路要發送信件,考量到垃圾信防禦完整性及信件發送安全性,可在SPAM SQR或Mail SQR啟用SMTP認證功能,讓使用者可以在外部網路發送信件,採用Multi-Way的好處是可沿用郵件伺服器上的原始資料,不須在SPAM SQR或Mail SQR上重新建立使用者認證資料。

Multi-Way採用分散式系統分工運作架構,藉由多伺服器分工同步的運作,為信件過濾與備份的處理提供分流過濾,兩部伺服器分工處理信件流量,縮短整體處理時間,假如其中一部伺服器發生問題時,另一部伺服器能繼續服務,不致讓電子郵件系統癱瘓。Multi-Way也可以讓兩部伺服器定時自行同步資料作為備援,此外Multi-Way也具有帳號資料同步傳輸功能,能降低郵件伺服器與SPAM SQR、Mail SQR之間帳號同步管理負擔。如此一來也解決了兩部伺服器過濾或備份信件資料的不一致問題,使用者和管理者可以在任何一臺伺服器查詢到所有的信件內容和記錄,簡化事件稽核複雜度。

兩款產品操作管理相似
SPAM SQR與Mail SQR雖然目的不同,前者著重在垃圾郵件過濾,後者著重在郵件稽核,但兩者在操作與管理上,具有一定的相似度。
以管理介面為例,兩者均支援正體中文、簡體中文與英文的網頁操作管理介面,使用者、分權管理者或系統管理者可由網頁管理系統,方便外勤人員使用。如果需要限制外部使用者登入SPAM SQR與Mail SQR,可配合防火牆阻擋或限制特定來源IP的遠端登入。

由於電周的郵件伺服器帳號為管理者手動建立,與既有的Windows AD無關,建置SPAM SQR與Mail SQR時,為了不更動使用者認證架構,需由中華數位提供郵件伺服器帳號資料同步的客制化服務,共需4萬元。

SPAM SQR與Mail SQR均可整合Virus SQR防毒模組。在本次規畫的解決方案中,SPAM SQR也已經內含一年防毒授權,而且中華數位提供數家防毒產品可供選擇,如果企業希望建立雙層防毒,也可在Mail SQR上增加另一道病毒攔截關卡。

垃圾郵件過濾具多種個人化管理
SPAM SQR提供彈性的個人化管理機制,經過管理者賦予權限後,使用者可以自行管理垃圾郵件,除了定時收到垃圾信攔截明細,也能擁有MySPAM的個人垃圾信件管理介面,從中設定與調整個人的郵件政策、垃圾信件攔截區、黑白名單等。SPAM SQR的個人黑白名單最多可設定200組,也就是黑名單加白名單總數不能超過200組。

另外,SPAM SQR能夠定時自動寄送垃圾郵件攔截明細給每個使用者,裡面詳細記錄使用者在特定時間內被SPAM SQR攔截的所有垃圾郵件清單。攔截明細寄送的時間與是否寄送均可由系統管理者彈性調整。

在垃圾信件攔截區中,使用者可瀏覽所有被系統保留的攔截信件清單,介面提供信件取回、刪除及快速加入個人黑白名單的功能。

雖然有垃圾郵件過濾的政策與自動處理,但仍然可能有漏網或誤攔的信件,讓使用者自訂黑白名單與垃圾郵件攔截敏感度,能夠同時兼具政策控管及個人化使用。

垃圾郵件相關統計報表較多
在群組管理上,管理者可以為使用者群組或各部門設定不同的管理政策及權限,例如是否寄送攔截明細、開放個人黑白名單與個人政策管理等。管理者可視需求變更細部的系統管理設定,如鎖定管理者帳號登入IP與使用者帳號登入IP,限制隔離與非隔離信件保留天數、設定每天的攔截明細寄送時間等。SPAM SQR和Mail SQR均提供分析統計報表,SPAM SQR的報表類型較多,可供管理者檢視系統的信件數量與流量攔截比例、人員排名、郵件分類、重寄郵件、寄件者來源、IP來源與連線阻擋統計;Mail SQR的報表較少,可以產生流量與郵件處理狀態的統計,並顯示群組與單一使用者的信件統計。

稽核郵件內容整合過濾與備份
在郵件稽核方面,Mail SQR也相當著重信件的記錄、備份與稽核等功能,只要符合條件的信件,管理者可以選擇執行審核、延遲遞送、允許寄送、退回、丟棄、密件副本、自動回覆等多種處理動作。

針對郵件記錄、郵件內容整與系統設定等資料,Mail SQR在網頁管理介面提供資料庫形式的備份及還原功能,可設定排程每日自動備份,或是手動備份。郵件稽核系統所保管的資料,包括信件的內容及往來記錄,可用來做為資料存檔、工作考核,甚至是法律證據,所以,維持稽核系統本身資料的完整性也相形重要。

在電周公司的規畫案中,中華數位建議需注意使用者分權管理的問題,當賦予管理者權限時,除了依照群組和職位高低分權之外,管理者的角色最好能再分成管理垃圾信與郵件稽核兩種類型,以利權責分工;此外,先過濾垃圾郵件,再記錄與備份郵件,能讓信件的記錄、備份管理更有效率。

如同SPAM SQR,Mail SQR同樣以部門/群組為管理基準,針對群組可再建立分權帳號,讓特定主管或指定人員擁有群組或特定功能的管理權限。管理者可為群組設定各部門的信件內容管理政策,選擇記錄信件的相關資訊或是備份整封信件。文⊙李宗翰
TOP
PC Shopper 月刊
 全國銷售第一的專業電腦採購雜誌!

 
 
IronPort

IronPort以Virtual Gateway技術分隔不同的郵件信息,結合了阻擋垃圾郵件、病毒及內容過濾稽核功能,並具備信譽評等和Brightmail的垃圾郵件過濾技術,提供郵件系統免於遭受垃圾郵件、郵件攻擊或病毒的威脅,並防範發生電子郵件洩密事件。

結合數種安全機制增加防護效果
IronPort在架構上結合了SenderBase、Brightmail、Sophos和內容過濾機制,SenderBase具備防郵件攻擊和病毒預防功能,以SBRS控制郵件通道,可根據發件人的信譽自動地執行處理政策。

SenderBase統計全球的寄件者相關資料,包括發信量、IP位址、域名、所在地……等資料,然後加以評分,得出「信譽評等」分數。信譽評等分數介於±10之間,數字越大代表越安全,例如HiNet是7.5分,可至SenderBase網站(www.senderbase.org)查閱相關資料。
另外對於新型態的病毒,也能透過隔離手段防止企業受到攻擊。在安全監控上,能訂定企業的電子郵件政策,透過彈性的掃描機制,能掃描表頭、內文、附件型態、大小、加密狀況,巢狀的掃描機制可避免刻意隱藏內容的郵件。

假使發現違規的信件,管理者也可自訂處理原則,通知管理者、退回寄件人、備份(附本或密件附本)、正常傳送等,亦可針對 LDAP 的不同組群制定不同的管理策略。

Brightmail是IronPort用來防堵垃圾郵件的機制,每隔10分鐘更新的過濾器及過濾名單,以達到有效偵測垃圾郵件的目的。產品採Sophos防毒引擎,以InterCheck技術提高防毒效能及準確度,並以模擬技術偵測變形、複雜的電腦病毒。

透過Web介面管理系統與產生報表
IronPort的核心為AsyncOS,是專為信息處理的操作系統,對於郵件流量監控,無論是流入、流出的郵件,均提供自動異常警告和完整流量圖表。系統支援多用戶登錄,擁有易用的日誌和報備功能,通過SSH/Telent方式提供Web圖形和CLI指令介面進行系統控管。在管理上亦可與企業原有的LDAP整合,無論是黑白名單設定、郵件掃描,或是使用者自行管理垃圾郵件,都能藉由群組化的設定,制定不同策略,彈性調整與控管。

列在白名單中的郵件,將不會經過審核而直接傳給收信者,減少誤判的機率;如遇有疑義的信件,則會丟進具隔離作用的垃圾郵件備份主機,並通知收件者登入主機檢查信件。使用者可透過瀏覽器,自行管理個人的垃圾郵件,將垃圾郵件轉回信箱。管理者可以設定自動通知用戶垃圾郵件的狀況,可依每周/每日/每小時彈性設定,並可在一定時間後自動清除。另外,垃圾郵件統一存放於隔離區,不會通過網路和郵件伺服器傳送,避免佔用網路資源。IronPort的Flow Control能管控發信順序,一般郵件伺服器發信的順序是依照電子郵件進入的先後順序,但Flow Control則可依照群組進行排序,讓高層主管的信件先行發送。文⊙黃天賜
TOP
 
 
SPAM SQR & Mail SQR

SPAM SQR和Mail SQR均是中華數位自行研發的產品,如同字面意義,一個負責垃圾郵件過濾,一個提供郵件稽核功能。雖然兩者的功用不同,但卻都具備一些相似的功能,我們可以在SPAM SQR上找到不少Mail SQR的影子。

SPAM SQR具備多種關鍵字類別
SPAM SQR具有多層次垃圾郵件過濾引擎,系統也內建27類關鍵字比對資料庫,針對不同類型的垃圾郵件,搭配權重與驗證值的總分加權計算,能夠減少誤判率。使用者個人化功能方面,SPAM SQR提供個人即時攔截明細,一般使用者可以調整過濾類別與敏感度,但若是與公司政策抵觸時,僅能調整敏感度。

SPAM SQR會比對郵件的發信來源和連線特徵,鎖定信件轉送(Mail Relay)的網域,避免被不當發信;當特定IP在特定時間內連線次數超過設定值時,將自動列入拒絕往來名單,從這個IP寄來的信件也一律自動丟棄,可用來防禦利用字典檔大量試寄的信件。

當系統比對黑白名單時,會自動反查DNS驗證發信IP和網域名稱,為了加速黑名單開列,SPAM SQR提供陷阱郵件信箱(Honey pot)功能,寄到該信箱的信件即是垃圾郵件,系統會自動新增過濾條件,並通知管理者新規則生效。最後,系統會依據條件設定過濾,或是透過關鍵字和權值計分判定垃圾郵件類別。

為了減少正常信遭到誤攔,SPAM SQR具有郵件回收功能,使用者可以將系統攔截不到的垃圾信,寄給專屬回收帳號,系統會詳細分析出積分、驗證值與郵件類別等資訊,供管理者修正政策與設定。

Mail SQR備份外送信件
雖然具備過濾功能,但Mail SQR的主要功能是郵件內容的安全控管、稽核記錄、備分機制和政策管理,當郵件送入或寄出時,利用Mail Relay的方式先行記錄、備份與過濾。當郵件伺服器發生問題時,Mail SQR也可以臨時更改設定充當郵件伺服器,作為郵件備援系統。Mail SQR也提供多種選購模組,提供多重網域、代收外部POP3郵信、急件簡訊通知、附檔內容過濾與全文檢索等加值功能。
企業可基於本身安全管理政策,透過Mail SQR先攔截員工收到與發出的郵件,讓部門主管或授權單位審核郵件,或是執行後續的刪除、退回、寄出、轉寄與呈報,防止使用者傳遞帶有敏感機密資訊的郵件或散播病毒信。郵件記錄包含完整的收/寄件人、信件標題、內容、附件、大小及寄送IP等。

除了基本的郵件過濾條件,管理者還可以額外設定收信人數(當同一封信件寄給多人時,超過一定人數就會被系統攔截);附件檔設定密碼也同樣會被系統予以攔截,以強化安全性。

由於信件寄出時必經Mail SQR,因此可以用來管制使用者的信件寄送時間,讓大量郵件或與工作無關的郵件延遲到下班時間寄送,管理者也可以限制每小時電子郵件寄送量、調節頻寬,使業務相關郵件寄送更順暢。文⊙李宗翰
普拉斯 / Xuite日誌 / 回應(0) / 引用(0) / 好文轉寄
打造安全的郵件環境 |日誌首頁|即時化資訊,讓安麗由谷底翻升 ...上一篇打造安全的郵件環境 下一篇即時化資訊,讓安麗由谷底翻升 ...
回應