TurboEx郵件系統(tǒng)安全特性介紹系列（六）：一體化郵件網(wǎng)關(guān)

企業(yè)郵箱作為企事業(yè)單位必不可少的對(duì)外和內(nèi)部主要信息傳輸工具，承載著大量重要信息，電子郵件內(nèi)容的泄露或篡改會(huì)給單位和個(gè)人帶來(lái)無(wú)法估量的損失，同時(shí)電子郵件也是企業(yè)寶貴的數(shù)字資產(chǎn)，在當(dāng)前國(guó)際關(guān)系復(fù)雜多變、互聯(lián)網(wǎng)攻擊概率日益加大的形勢(shì)下，對(duì)郵件服務(wù)器系統(tǒng)的安全控制能力和開(kāi)發(fā)商的研發(fā)技術(shù)實(shí)力要求更加突顯。

拓波軟件作為中國(guó)電子郵件行業(yè)領(lǐng)域的領(lǐng)先者，向企事業(yè)單位提供全面有效的安全防護(hù)方案，從系統(tǒng)層到用戶層的每一個(gè)環(huán)節(jié)都提供了業(yè)內(nèi)全面的安全控制與威脅防護(hù)功能，主要分為以下九方面：

數(shù)據(jù)加密	防攻擊	防盜用
反垃圾病毒郵件網(wǎng)關(guān)	多維安全訪問(wèn)控制	多種數(shù)據(jù)審核機(jī)制
用戶安全操作管理	報(bào)警機(jī)制	安全功能快速二開(kāi)

客戶可以根據(jù)需求定制郵件系統(tǒng)安全管理策略與方案，本篇介紹TurboEx安全特性功能（六）：一體化郵件網(wǎng)關(guān)。

TurboEx無(wú)縫集成拓波軟件自主研發(fā)的TurboGate安全郵件網(wǎng)關(guān)，提供安全訪問(wèn)全面防護(hù)、高度安全防范機(jī)制。

TurboGate反垃圾郵件網(wǎng)關(guān)海量數(shù)據(jù)庫(kù)從用戶處大量接收每天約5000萬(wàn)次的垃圾郵件舉報(bào)，基于海量垃圾郵件倉(cāng)庫(kù)與拓波大數(shù)據(jù)分析技術(shù)對(duì)垃圾郵件特征機(jī)型快速的匯集和分析，提煉出實(shí)時(shí)更新的垃圾郵件特征庫(kù)，供TurboGate AntiSpam深度學(xué)習(xí)與計(jì)算。TurboGate AntiSpam是一個(gè)非常有彈性的智能垃圾郵件評(píng)分引擎，它根據(jù)企業(yè)用戶的業(yè)務(wù)特征、垃圾郵件規(guī)則庫(kù)和得分閥值來(lái)為每臺(tái)反垃圾網(wǎng)關(guān)智能建立垃圾郵件判斷機(jī)制，高度匹配每個(gè)企業(yè)的業(yè)務(wù)郵件特征。

• 實(shí)現(xiàn)對(duì)附件內(nèi)容做垃圾檢測(cè)的郵件網(wǎng)關(guān)；
• 實(shí)現(xiàn)對(duì)圖片做垃圾檢測(cè)的郵件網(wǎng)關(guān)；
• 實(shí)現(xiàn)雙向攔截垃圾郵件的郵件網(wǎng)關(guān)；
• 垃圾郵件摘要報(bào)告，保證零誤判；

1.九層反垃圾反引擎

TurboEx采用九層反垃圾綜合評(píng)分引擎，根據(jù)垃圾郵件的各種特征對(duì)郵件建立各項(xiàng)可信度分值，根據(jù)不同單位郵件內(nèi)容的特點(diǎn)來(lái)靈活調(diào)整每個(gè)特征的權(quán)重，同時(shí)結(jié)合拓波云反垃圾規(guī)則庫(kù)，對(duì)每封進(jìn)出郵件進(jìn)行綜合評(píng)分，根據(jù)分值判斷是否為垃圾郵件，垃圾郵件的攔截率為99.9%或以上，零誤判。

反垃圾后臺(tái)設(shè)置示例圖

采用的反垃圾技術(shù)：

第一層：網(wǎng)絡(luò)控制層

經(jīng)驗(yàn)分析，發(fā)送垃圾郵件的服務(wù)器通常會(huì)同時(shí)大批量向某些域的多個(gè)帳號(hào)發(fā)送垃圾郵件，對(duì)于這種發(fā)送垃圾郵件方式，可通過(guò)設(shè)定一定的網(wǎng)絡(luò)訪問(wèn)頻率控制進(jìn)行有效的阻隔。TurboEx針對(duì)這種攻擊提供兩種設(shè)置方式，并自動(dòng)將發(fā)送垃圾郵件的IP歸為垃圾IP（SpamIP）列表。

通過(guò)SMTP服務(wù)層拒絕明顯的發(fā)送垃圾郵件SMTP連接，大大減輕后臺(tái)投遞系統(tǒng)和反垃圾引擎的負(fù)擔(dān)。

通過(guò)統(tǒng)計(jì)分析，我們發(fā)現(xiàn)發(fā)送垃圾郵件的SMTP連接具有以下特點(diǎn)。

• 同一IP同時(shí)的smtp連接數(shù)非常大。
• 同一IP一段時(shí)間內(nèi)，smtp的連接頻率非常高。

一般出現(xiàn)這兩種情況，都表示源發(fā)件人極有可能在發(fā)送垃圾郵件。

SMTP服務(wù)配置圖

通過(guò)設(shè)置以下這兩個(gè)參數(shù)可控制這類型的smtp連接，從而截?cái)喟l(fā)送垃圾郵件的源頭：

系統(tǒng)設(shè)置－》SMTP服務(wù)－》一分鐘內(nèi)同一IP允許訪問(wèn)次數(shù)。

同時(shí)設(shè)置：

系統(tǒng)設(shè)置－》SMTP服務(wù)－》啟用智能反垃圾IP功能參數(shù)，把符合以上兩個(gè)條件的IP地址自動(dòng)加入系統(tǒng)的智能反垃圾IP列表中（SmartSpamIP），當(dāng)以后系統(tǒng)碰到這些IP連接時(shí)，直接拒絕。

可通過(guò)：

系統(tǒng)監(jiān)控－》智能反垃圾IP列表 查看系統(tǒng)目前智能反垃圾IP 列表。

注：如互聯(lián)網(wǎng)是經(jīng)過(guò)反垃圾網(wǎng)關(guān)再接入郵件系統(tǒng)，由于郵件系統(tǒng)的所有smtp連接都來(lái)自反垃圾網(wǎng)關(guān)，所以smtp服務(wù)反垃圾技術(shù)不再起作用，需要修改配置將以上兩個(gè)參數(shù)設(shè)為-1，否則會(huì)有系統(tǒng)smtp服務(wù)故障。

第二層：來(lái)源分析

根據(jù)垃圾郵件發(fā)送者IP的地理位置，與 APNIC 的IP信息庫(kù)核對(duì)結(jié)果，確定來(lái)源是否真實(shí)，如果真實(shí)則通過(guò)，否則可能為可疑郵件。因?yàn)镮P 來(lái)源無(wú)法偽裝，所以這個(gè)反垃圾策略比較有效。

第三層：黑名單

通過(guò)黑名單, TurboEx系統(tǒng)可設(shè)置屏蔽任何一個(gè)IP，一個(gè)網(wǎng)段；也可屏蔽任何一個(gè)發(fā)信人，一個(gè)域。

實(shí)時(shí)黑名單(RBL)主要利用互聯(lián)網(wǎng)公開(kāi)的RBL資源判斷是否為垃圾郵件。RBL 一般是通過(guò)DNS 查詢的方式提供判斷某個(gè)IP或域名是否是垃圾郵件發(fā)送源的服務(wù)。另外，由于國(guó)外大多數(shù)RBL都對(duì)來(lái)自中國(guó)的ip 有“歧視”，所以我們并不能完全依靠RBL 來(lái)判斷一封郵件是否是垃圾郵件，只能根據(jù)RBL查詢結(jié)果判斷該郵件是否垃圾郵件的可能性?？稍O(shè)置以下參數(shù)定制RBL:

• RBL服務(wù)器：指定RBL查詢域名后綴。
• DNS查詢類型：根據(jù)具體的RBL要求指定DNS查詢記錄類型。
• 匹配表達(dá)式：指定RBL查詢結(jié)果的匹配模式，表達(dá)式格式采用perl正則表達(dá)式，如果為空，則表示如果可查到RBL結(jié)果，則符合條件。

目前所知比較有效的RBL服務(wù)器為：

• xbl.spamhaus.org
• bl.spamcop.net
• cbl.anti-spam.org.cn
• cdl.anti-spam.org.cn

第四層：灰名單

灰名單技術(shù)源于：http://www.greylisting.org/。

灰名單技術(shù)基本假設(shè)是：病毒和垃圾郵件，通常都是一次性的，如果遇到錯(cuò)誤，不會(huì)重試。

發(fā)垃圾郵件的軟件不會(huì)對(duì)郵件服務(wù)器返回的錯(cuò)誤做出任何重試，而只是簡(jiǎn)單的在日志里記錄發(fā)送失敗而已。而病毒引發(fā)的郵件風(fēng)暴則更加不會(huì)識(shí)別郵件服務(wù)器返回的錯(cuò)誤，因?yàn)檫@些病毒僅僅是簡(jiǎn)單的發(fā)送郵件，發(fā)送時(shí)根本不理會(huì)服務(wù)器的狀態(tài)。

Greylist的設(shè)計(jì)大體上是基于一種重試的原則，即當(dāng)收到某個(gè)IP想給某個(gè)收件人發(fā)信的會(huì)話時(shí)，它先簡(jiǎn)單的返回一個(gè)臨時(shí)錯(cuò)誤（4xx），并拒絕此請(qǐng)求，正常的郵件服務(wù)器都會(huì)在一段時(shí)間內(nèi)（如半小時(shí)）重發(fā)一次郵件。如還是相同的ip地址和收件人，則判斷此ip地址為合法服務(wù)器，予以放行。如果是非正常的郵件，那么或者將永遠(yuǎn)也不再進(jìn)行重試，或者會(huì)瘋狂重試，但由于間隔太近，而遭拒絕。因此，Greylist只要設(shè)置一個(gè)合適的放行間隔，就可以在很大程度上對(duì)這類垃圾郵件有著良好的免疫能力。Greylist的一大特點(diǎn)就是不會(huì)丟信，正規(guī)的郵件服務(wù)器認(rèn)為4xx錯(cuò)誤只是臨時(shí)性、軟性的錯(cuò)誤，會(huì)隔一段時(shí)間重試，因此郵件還是可以投遞成功。但Greylist的主要缺點(diǎn)是即時(shí)延遲（delay），延遲從幾分鐘到幾個(gè)小時(shí)不等。對(duì)于一些對(duì)郵件及時(shí)性要求高的客戶，Greylist可能不是一個(gè)很好的選擇。

第五層：趨勢(shì)分析

趨勢(shì)分析原理為，所有垃圾郵件都有目標(biāo)指向，比如：賣(mài)藥廣告郵件都會(huì)在郵件內(nèi)容里指定賣(mài)藥的電話、郵件或網(wǎng)站，如果不指定這些信息，發(fā)送垃圾郵件也就沒(méi)有意義了。趨勢(shì)分析法就是通過(guò)分析郵件里的電話、郵件或網(wǎng)站鏈接內(nèi)容，通過(guò)匹配判斷他的指向從而判斷郵件是否是垃圾郵件。

第六層：郵件來(lái)源判斷

主要通過(guò)分析郵件的來(lái)源，如：發(fā)件人IP，發(fā)件人，發(fā)件域等內(nèi)容，來(lái)判斷垃圾郵件的可能性。

第七層：內(nèi)容過(guò)濾

通過(guò)郵件內(nèi)容關(guān)鍵字分析，可為符合內(nèi)容分析結(jié)果的郵件打上相應(yīng)的垃圾郵件評(píng)分。這類規(guī)則的判斷條件類似系統(tǒng)的過(guò)濾規(guī)則?？蓞⒖歼^(guò)濾規(guī)則設(shè)定來(lái)設(shè)定過(guò)濾評(píng)分內(nèi)容，同時(shí)拓波云反垃圾規(guī)則庫(kù)會(huì)通過(guò)收集客戶報(bào)告的垃圾郵件的特點(diǎn)不斷更新規(guī)則庫(kù)，定期推送到客戶郵件服務(wù)器更新。

第八層：主題分析引擎

主題分析原理是基于：同一類垃圾郵件的內(nèi)容大多都相似，通過(guò)相似度進(jìn)行分析，以確定是否為垃圾郵件。比如代開(kāi)發(fā)票的垃圾郵件，內(nèi)容都有“代開(kāi)”，“發(fā)票”，“稅”這類詞，通過(guò)對(duì)同一類型垃圾郵件的統(tǒng)計(jì)分析，可以歸納這類垃圾郵件的主要關(guān)鍵字，通過(guò)關(guān)鍵字匹配度，確認(rèn)是否是垃圾郵件。

第九層：TMSpamCheck引擎

TMSpamCheck技術(shù)是基于云計(jì)算的反垃圾技術(shù)，拓波通過(guò)收集終端用戶反饋的垃圾郵件，統(tǒng)一分析，實(shí)時(shí)歸納為中心垃圾規(guī)則庫(kù)。同時(shí)當(dāng)客戶郵件服務(wù)器初步檢測(cè)到郵件可能為垃圾郵件時(shí)，即計(jì)算郵件的特征摘要，與中心規(guī)則庫(kù)比較，以確定是否為垃圾郵件。

2.反病毒引擎

TurboEx系統(tǒng)支持多種殺毒引擎，并且內(nèi)置著名的開(kāi)源殺毒引擎ClamAV，對(duì)郵件類病毒具有99.9%的殺滅能力，同時(shí)支持嵌入式殺毒和網(wǎng)關(guān)殺毒自動(dòng)定時(shí)更新病毒特征庫(kù)。

ClamAV殺毒引擎特點(diǎn)：Clam AntiVirus是一款UNIX下開(kāi)源的(GPL)反病毒工具包，專為郵件網(wǎng)關(guān)上的電子郵件掃描而設(shè)計(jì)。該工具包提供了包含靈活且可伸縮的監(jiān)控程序、命令行掃描程序以及用于自動(dòng)更新數(shù)據(jù)庫(kù)的高級(jí)工具在內(nèi)的大量實(shí)用程序。該工具包的核心在于可用于各類場(chǎng)合的反病毒引擎共享庫(kù)。

未完待續(xù)，下期介紹TurboEx安全特性功能（七）：報(bào)警機(jī)制，敬請(qǐng)期待。