淺析郵件防火墻在企業(yè)中的應(yīng)用
垃圾郵件防護(hù)一直是企業(yè)網(wǎng)絡(luò)安全中的重點和難點,垃圾郵件過多不僅會讓企業(yè)的效率減慢,而且一不小心就可能打開帶有病毒木馬的郵件,繼而泄露企業(yè)信息,令人防不勝防。雖然郵件安全防護(hù)一直以來在發(fā)展和提倡,但是垃圾郵件就如同小草一般吹風(fēng)吹又生。而且不僅是一般的企業(yè)用戶,包括一些電信運營商和郵箱運營商更是垃圾郵件的直接受害者。本篇文章就淺析郵件防火墻在企業(yè)中的應(yīng)用。
運營商反垃圾郵件困擾
1. 現(xiàn)有的防火墻和病毒防火墻只能阻斷來自網(wǎng)絡(luò)的普通攻擊,不能有效防止Internet混合在垃圾郵件當(dāng)中的病毒,蠕蟲,URL 等威脅,使得病毒能夠躲避傳統(tǒng)的防御方法,且將其代理文件植入到運營商郵件系統(tǒng)的網(wǎng)絡(luò)中。
2. 現(xiàn)有垃圾郵件防護(hù)系統(tǒng)不能有效的過濾垃圾郵件,導(dǎo)致系統(tǒng)內(nèi)存在著大量的垃圾郵件,占用了傳輸、存儲和運算資源,不但造成網(wǎng)絡(luò)資源浪費,降低了系統(tǒng)的使用率,還造成郵件服務(wù)器擁塞,降低了網(wǎng)絡(luò)的運行效率,嚴(yán)重影響正常的郵件服務(wù),對信息安全系統(tǒng)性能形成重大影響。
3. 由于垃圾郵件具有反復(fù)性、強制性、欺騙性、不健康性和傳播速度快等特點,嚴(yán)重干擾了個人的正常生活,浪費了用戶的時間、精力和金錢,使得很多的用戶對運營商的服務(wù)產(chǎn)生了不滿,極大的影響了用戶滿意度,導(dǎo)致用戶對運營商投訴增加,甚至客戶流失的嚴(yán)重后果。
4. 大量的攻擊測試,由于電信屬于大用戶,目標(biāo)較大容易電信外部的郵件系統(tǒng)引起黑客興趣,配置稍有不慎即成為黑客的攻擊目標(biāo),甚至成為垃圾郵件的中轉(zhuǎn)站,這樣不但嚴(yán)重影響電信系統(tǒng)內(nèi)部的正常郵件交流,而且很容易被國際反垃圾郵件組織列入黑名單,從而造成該郵件服務(wù)器無法向外界正常的發(fā)送郵件。
5. 電信郵箱的用戶群體比較巨大,很多電信域的用戶利用本域郵箱向外部其他郵箱發(fā)送垃圾郵件,很容易造成該域被其他的郵件服務(wù)器屏蔽,影響正常郵件發(fā)送,甚至有的郵件用戶向其他用戶發(fā)送反動郵件,從而產(chǎn)生一些政治事件,嚴(yán)重影響運營商形象。
運營商典型的郵件系統(tǒng)環(huán)境
某大型電信網(wǎng)絡(luò)中,郵件服務(wù)器群架設(shè)在具有負(fù)載均衡功能交換設(shè)備后端,SMTP服務(wù)和POP服務(wù)在不同的服務(wù)器上實現(xiàn),具備強大的負(fù)載均衡和抗攻擊能力。
反垃圾郵件產(chǎn)品的安裝模式
以梭子魚垃圾郵件防火墻為例,介紹一下運營商環(huán)境中的反垃圾郵件產(chǎn)品安裝模式:
1.MX 記錄修改模式
這種模式針對大型網(wǎng)絡(luò)中架設(shè)梭子魚后能夠給梭子魚分配公網(wǎng)地址的情況。
通過在DNS上修改本域的MX記錄,使MX記錄優(yōu)先指向梭子魚的公網(wǎng)IP地址,從而使郵件流優(yōu)先流向梭子魚,經(jīng)由梭子魚過濾病毒和垃圾郵件后再轉(zhuǎn)發(fā)到郵件服務(wù)器。
前面所述的運營商典型郵件系統(tǒng)環(huán)境一般都屬于這種架設(shè)模式
2.端口轉(zhuǎn)發(fā)模式
這種模式針對局域網(wǎng)絡(luò)環(huán)境中,公網(wǎng)地址缺乏或者網(wǎng)絡(luò)環(huán)境不允許修改MX記錄的情況
通過將郵件域公網(wǎng)地址的SMTP端口指向梭子魚(NAT或者PAT),其它端口不變,使郵件流先指向梭子魚的私網(wǎng)地址,梭子魚過濾完病毒和垃圾郵件后再轉(zhuǎn)發(fā)到郵件服務(wù)器的私網(wǎng)地址。
這種模式的優(yōu)點是架設(shè)簡單,不需要對網(wǎng)絡(luò)架構(gòu)做大的修改。
運營商環(huán)境中的反垃圾郵件防火墻性能要求
1. 強大的郵件處理能力
對于運營商郵件系統(tǒng)而言,需要反垃圾郵件防火墻設(shè)備有強大的郵件處理能力,即支持上萬個郵件帳號,每日處理郵件量要達(dá)到上千萬封,我們可以看看梭子魚高端型號設(shè)備的郵件處理能力。
#p#
以下我們也看一個實際使用垃圾郵件防火墻的運營商系統(tǒng)情況:
以上是單臺梭子魚垃圾郵件防火墻支持超過100,000郵件帳戶,日處理郵件數(shù)量達(dá)到200萬封的項目案例,從上圖中可以看到運營商的病毒郵件數(shù)量達(dá)到1.5%,而垃圾郵件數(shù)量則超過了90%。
2. 針對郵件瞬間峰值的郵件接收處理能力
對于運營商而言,對垃圾郵件防火墻設(shè)備的瞬間高峰處理能力要求很高,這樣也就要求垃圾郵件防火墻設(shè)備要有強大的接收處理能力,能在郵件高峰時間,把郵件“吃進(jìn)肚子”,然后在慢慢消化。
運營商垃圾郵件防火墻要求實現(xiàn)負(fù)載均衡、冗余及容錯
1. 通過DNS輪巡的方式實現(xiàn)負(fù)載均衡及冗余
通過DNS 的輪尋機制,郵件在傳輸?shù)侥撑_梭子魚前將經(jīng)過一個隨機挑選的過程,上圖所示的5臺梭子魚,在輪尋機制下有相同的幾率被選中,這將使進(jìn)入的郵件平均的分配到所有的梭子魚中,從而達(dá)到負(fù)載均衡的效果。
2.選擇專業(yè)的負(fù)載均衡設(shè)備實現(xiàn)負(fù)載均衡功能
除了以上的DNS輪巡模式以外,還可以選擇專業(yè)的負(fù)載均衡設(shè)備,采用加權(quán)最小連接數(shù)(WLC)、加權(quán)輪巡(WRR)及應(yīng)用程序只能引擎(Adaptive Scheduling)等模式來進(jìn)行負(fù)載均衡計算,把流量平均分配到幾臺梭子魚垃圾郵件防火墻上去。
運營商環(huán)境需要不斷提高垃圾郵件過濾技術(shù)
對于反濫發(fā)郵件措施,運營商的郵件管理者應(yīng)該意識到::互聯(lián)網(wǎng)上增加了大量垃圾郵件;身份欺詐的手段在不斷變化;圖片垃圾郵件的飆升。依據(jù)這些趨勢精心策劃郵件防護(hù)部署,才能夠保護(hù)系統(tǒng)的安全。梭子魚垃圾郵件防火墻根據(jù)國際垃圾郵件的發(fā)展趨勢而增加了許多新技術(shù),專門針對不同的攻擊類別,如圖片掃描,意圖分析,OCR技術(shù),發(fā)件人特征識別等,緊密跟蹤垃圾郵件事態(tài),立即響應(yīng)和動態(tài)升級服務(wù)被驗證能夠正確且有效的確保運營商郵件環(huán)境的安全。
【編輯推薦】
