邮件网关技术白皮书 www.eYou.net
? 用借读数据更改主板上可檫写型BIOS芯片,造成系统崩溃或主板损坏; ? 造成磁头在硬盘某些点上死读,从而破坏硬盘;
? 群发邮件,选择随机文档附加在您的机器的通讯簿的随机地址进行发送; ? 泄漏机密:随机将您硬盘上的文件附加进邮件发送。
邮件病毒通过这几种危害形式,给计算机造成的灾害是巨大的。这方面的事例数不胜数。
I.4 企业对邮件有害信息过滤器的需要
作为企业,无论大小,必然会使用电子邮件与全国各地和海外销售分公司、分销商以及客户保持联络。可以说,电子邮件系统已成为企业日常运作必不可少的一个部分。由于电子邮件已成为有害信息传播的主要载体,毫无例外的,企业在往来的电子邮件中也经常会发现隐藏的邮件有害信息。随着企业业务的扩展,企业电子邮件的影响逐渐加大,收到电子邮件垃圾信攻击的可能性也在逐渐增大。
现在一般企业都会安装非常可靠的防火墙、网关防病毒、服务器防病毒、防止DOS攻击的系统、个人桌面计算机防病毒软件等等。在以前,整个企业如果把自己的服务器和内部的桌面计算机保护好,整个系统就安全了。但是现在随着Internet的发展,电子邮件已经成为计算机病毒传播的主要媒介,电子邮件服务器也成了被攻击的主要对象,电子邮件也已经成为企业安全防护的一个重要方面。防火墙等这些系统安全措施对于电子邮件的有害信息和垃圾信件是无能为力的,或者说只有在已经被病毒感染或者被攻击很长一段时间后这些系统才会真正起到作用,于是电子邮件就成为系统网络安全的一大隐患。藏匿于电子邮件中的有害信息更是让整个安全系统防不胜防。这时,就只有基于电子邮件服务器的解决方案才能够检测和删除携带有害信息的邮件、才能够在最短的时间内识别垃圾信件的攻击。
具有过滤和防护功能的基于电子邮件服务器的解决方案与其它的防护手段联手才能形成企业的网络安全和合理利用的完整体系,它们相辅相成。
E000-T300-040831 3 亿中邮信息技术有限公司
邮件网关技术白皮书 www.eYou.net
II 产品介绍
II.1 电子邮件有害信息邮件网关概述
网络服务产品按照功能进一步细化已经成了一种趋势。例如计费网关,防火墙,邮件网关。相当多的购买者愿意购买相对来讲更加经济的带有专项服务的服务器。电子邮件有害信息过滤器正是符合这种趋势的产品。
亿邮电子邮件有害信息邮件网关(以下简称邮件网关)的作用就是像邮件系统的防火墙一样,守卫在真正的邮件服务器外面直接面对用户和其它邮件服务器,从而实现拦截垃圾信、有害信息过滤等功能,将对邮件系统产生影响的邮件抵挡在真正的邮件服务器之外。
邮件网关完全满足公安部有关邮件过滤的技术要求。拥有了邮件网关,用户的邮箱会大大减少垃圾邮件的侵扰。而用户所需要做的只是把邮件网关安装在邮件服务器之前,再进行简单配置就行了。
II.2 使用邮件网关前后示意图
如图II-1所示为未使用邮件网关的网络拓扑图,图II-2为将邮件网关放置在网络中的某台防火墙的背后,主要针对邮件服务器,对于邮件服务器,无论是以SMTP方式或者是POP3方式收发的邮件,都可以对其进行内容检查,以堵住来自外部或内部的入侵。
E000-T300-040831 4 亿中邮信息技术有限公司
邮件网关技术白皮书 www.eYou.net
图 II-1 未使用邮件网关
图 II-2 使用了邮件网关
II.3 智能垃圾邮件拦截技术
亿邮邮件网关的一个重要作用就是抵抗垃圾邮件。经过长期垃圾邮件与反垃圾邮件技术的斗争,在利益的驱使下,垃圾邮件的发送技术也已经发生了很大的变化。变换标题,变换发信人使得传统的根据标题,发信人进行过滤的做法早已无济于事。针对内容的过滤,甚至针对IP
E000-T300-040831
5
亿中邮信息技术有限公司
邮件网关技术白皮书 www.eYou.net
的封锁的效果也大不如前。因此,针对目前猖獗的垃圾邮件攻势,反垃圾邮件的技术必须“魔高一尺,道高一丈”,才可能真正遏制住它的发展。
亿邮邮件网关的垃圾邮件拦截技术采用的是根据垃圾邮件发送者的活动特征进行智能预测,在系统多层进行拦截的技术。它采用的技术主要有:
? TCP层防攻击处理:这一层可以直接拒绝DoS和DDoS的攻击,保证25端口服务
的正常。确保系统在经受大量恶意攻击时不会造成连接阻塞。
? 邮件协议对话层监控:垃圾邮件的发送无论如何改头换面,它的某些特点是无法改
变的。因此,网关在协议对话层可以对所有接收信件的活动特征进行采集。判断虚假路由,并且根据历史的数据进行预测,智能判断垃圾邮件发送者并实时拦截。 ? 队列处理层分析:当信件经过协议对话层进入队列后,根据系统数据库对数据采集
的采样、分析,得到每一封信的数据。这些数据被存入数据库中,并且经过一个智能分析器对信件的内容特征进行分析。最后会根据历史数据得出一个意见,根据这个意见对这封信件进行判断。如果是垃圾信,则将信件按照管理员的设置,或删除,或保存在临时队列中等待进一步处理。
? 病毒引擎处理:在邮件经过队列之后,会被病毒引擎进行扫描。亿邮网关采用的是
国际著名杀毒软件公司卡巴斯基的专业杀毒引擎。可以对邮件正文,附件,压缩的附件等进行杀毒。支持定期升级。
? 系统层过滤:经过了queue处理后的信件,进入投递过程,在解码之后,接受filter
的检查。这一层会对信件的标题,正文,内容,信头路由信息进行处理。 ? 用户层过滤:用户自定义的过滤器,根据用户自己的设置进行信件的过滤,
另外在亿邮长期对邮件研究的基础上,亿邮邮件网关系统内置了通过对邮件附件文件名进行检查的病毒邮件检查模块。该模块的特点是不需要任何第三方的杀毒引擎。只通过对普遍病毒邮件内容,附件以及编码方式等的判断,检查并隔离病毒邮件。这种方法的优点是高效率,低成本,检查率高,不需要升级等特点。非常适用于对杀毒没有特殊要求的客户。
经过以上的多层智能拦截,经过亿邮在多家千万级以及百万级邮件系统的实际测试,能够达到80%以上的垃圾邮件拦截效率。并且另外一个优点是误杀率低。基本上不会对正常的信件
E000-T300-040831 6 亿中邮信息技术有限公司
邮件网关技术白皮书 www.eYou.net
传输造成任何影响。
II.4 内置的世界知名杀毒引擎(可选)
目前亿邮邮件网关集成了国际知名的卡巴斯基的杀毒引擎。 防病毒扫描引擎的主要特点有:
? 为通过或存储于网络基础设施服务、应用程序和设备的通信提供高性能、高可靠的
病毒防御能力;
? 包括所有获奖的防病毒技术,它是专门为快速部署而优化的; ? 无需中断病毒扫描即可自动更新病毒定义和引擎; ? 可轻松适应日益增长的通信量并支持自动负载平衡功能;
? 由世界领先的互联网安全研究和支持组织--安全响应中心提供支持。
世界知名的杀毒引擎能够为第三方应用程序和设备提供高性能、可伸缩的病毒防御能力。 杀毒引擎致力于满足客户的各种需求,它通过将病毒扫描服务与重要任务设备的无缝集成,提供最高级别的性能、实施和管理便利性。
杀毒引擎能够与当今各种第三方应用程序和设备一起使用。杀毒引擎供应商已经对这些解决方案进行了测试和认证,客户可以自信并便捷地进行实施。
II.5 定时更新病毒
亿邮邮件网关通过调用杀毒引擎供应商提供的接口,自行研发定时更新病毒库的应用程序,无需邮件网关的管理人员进行下载。
II.6 贝叶斯算法处理垃圾邮件
亿邮邮件网关系统采用贝叶斯算法处理垃圾邮件,“贝叶斯过滤”是另外一种独立的反垃圾邮件手段。与垃圾邮件过滤器相反,它将邮件过滤的主动权交给了用户,每个用户可以根据自身的邮件状况定义出一个针对性极强的反垃圾邮件环境。贝叶斯法过滤的大致思想是:利用已知的正常邮件和垃圾邮件,建立垃圾邮件和非垃圾邮件单词的贝叶斯概率模型,然后利用该模
E000-T300-040831
7
亿中邮信息技术有限公司