概述
網路垃圾郵件給我們造成的危害很大,浪費很多的網路資源,也浪費我們寶貴的時間。網路病毒和垃圾郵件永遠是網路安全主要的兩個方面。目前,垃圾郵件的解決方案多種多樣,但主要有四種:客戶端的軟體解決方案;遠程電子郵件過濾服務;企業級軟體解決方案;硬體設備。
客戶端的軟體解決方案就是安裝軟體,現在的防垃圾郵件軟體零零散散,特別是在國內,不管是個人版或者伺服器版的防垃圾郵件軟體更多的是出自一些個人開發者之手,其中對垃圾郵件的定義不準確,很多人把垃圾郵件定義成病毒。垃圾郵件主要分為廣告郵件、匿名騷擾郵件和虛假郵件3種,目前軟體主要採用的是根據發信人地址、郵件主題或者是郵件大小等來進行過濾。但是一方面由於垃圾郵件存在不固定的隨機性,因此很難把握垃圾郵件的準確特徵,另一方面由於大部分防垃圾郵件工具本身設計上的誤區,造成了難以徹底防住垃圾郵件的現狀。同時,對於一個大型企業來說,一個防垃圾郵件軟體很難檔的住每天成千上萬,各式各樣的垃圾郵件。
目前對於企業用戶來說,大部分是採用高級硬體防火牆,個人用戶採用軟體防火牆。硬體防火牆和軟體防火牆相比,有哪些優點呢?硬體防火牆採用專用的硬體設備,然後集成生產廠商的專用防火牆軟體。從功能上看,硬體防火牆內建安全軟體,使用專屬或強化的作業系統,管理方便,更換容易,軟硬體搭配較固定。硬體防火牆效率高,解決了防火牆效率、性能之間的矛盾,可以達到線性。
軟體防火牆一般基於某個作業系統平台開發,直接在計算機上進行軟體的安裝和配置。由於客戶平台的多樣性,軟體防火牆需支持多作業系統,如
Unix、
Linux、SCO-Unix、
Windows等,代碼龐大、安裝成本高、售後支持成本高、效率低。
1、性能優勢。防火牆的性能對防火牆來說是至關重要的。它決定了每秒鐘通過防火牆的數據流量。單位是Bps,從幾十M到幾百M不等,還有千兆防火牆甚至達到幾G的防火牆。而軟體防火牆則不可能達到如此高的速率。
2、CPU占用率的優勢。硬體防火牆的CPU占用率當然是0了,而軟體防火牆就不同了,如果處於節約成本的考慮將防火牆軟體安裝在提供服務的主機上,當數據流量較大時,CPU占用率將是主機的殺手,將拖跨主機。
3、售後支持。硬體防火牆廠家會對防火牆產品有跟蹤的服務支持,而軟體防火牆的用戶能得到這種機會的相對較少,而且廠家也不會在軟體防火牆上下太大的功夫和研發經費。
因此,從實施的有效性、技術的易用性、以價格和企業的要求等綜合方面來考慮,目前被企業用戶廣泛採用的是“硬體的垃圾郵件解決方案”。當一個郵件由Internet的一個客戶發到電子郵件伺服器的時候,首先必須發到防垃圾郵件防火牆,防垃圾郵件防火牆對郵件進行特徵過慮,再發到電子郵件伺服器。
垃圾郵件來源
SMTP協定本身是一個簡化的郵件遞交協定,缺乏很多必要的身份認證,這是
SMTP協定造成垃圾郵件泛濫的原因之一。由於SMTP協定中,允許發信人偽造絕大多數的發信人特徵信息,如:發信人、信件路由等,甚至在通過匿名轉發、開放轉發和開放代理等手段後,可以近乎完全的抹去垃圾郵件的發信人特徵。目前,絕大多數的垃圾郵件都偽造了其真實的發信來源,這對於發現制止垃圾郵件的傳播造成了很大的困難。
SMTP協定還缺少一些必要的行為控制,不能有效的甄別正常的郵件傳送和垃圾郵件傳送行為,這是造成垃圾郵件泛濫的原因之二。垃圾郵件的傳送通常有一定的行為特徵,比如在較短的時間內傳送極其大量的電子郵件,發信通訊中通常有特定的通訊特徵等。
反垃圾郵件技術手段要么是本身帶有一定的缺陷,比如在垃圾郵件的判斷上不能做到絕對精確,或者需要很大實現成本等等;要么就是由於實際環境的限制而不能套用,比如不能徹底推翻原有的SMTP協定而使用一種新的可以避免垃圾郵件產生和傳播的郵件協定。所以,單純依賴技術手段並不能完全解決垃圾郵件。
技術解析
以下是這款反垃圾郵件防火牆使用的防護技術:
1 拒絕服務攻擊和安全防護
2 IP阻擋清單
3 速率控制
4 雙層病毒掃描
5 用戶自定義規則
6 垃圾郵件指紋檢查
7 郵件意圖分析
8 貝葉斯智慧型分析
9 基於規則的評分系統
10 解壓縮檔案的病毒防護
由於速率控制、病毒掃描以及解壓縮檔案的病毒防護針對病毒的,屬於反垃圾郵件的附屬功能我們暫不討論,值得一提的是防火牆的防止DDOS攻擊和反垃圾郵件防火牆防止DOS攻擊是不一樣的。根據博威特技術工程師的介紹:反垃圾郵件防火牆的防止DOS攻擊主要是防止往一個郵件地址在一個較短的時間內傳送大量的垃圾郵件,從而形成Dos攻擊。
而針對垃圾郵件的核心技術有貝葉斯智慧型分析、垃圾郵件指紋檢查、基於規則的評分系統、用戶自定義規則,其核心是貝葉斯智慧型分析、垃圾郵件指紋檢查技術。
主要作用
保障郵件系統安全
有了郵件防火牆的隔離,從
Internet外部只能“看到”郵件防火牆,而看不到內部真正的
郵件伺服器,甚至從外面無法知道內部郵件伺服器採用哪種
軟體系統,什麼版本狀態等。因此大大降低了
郵件伺服器因為“暴露在外”而潛伏的安全隱患。
過濾不安全郵件
儘管
SMTP協定中的VRFY和EXPN等協定的設計初衷很好,但是
黑客和垃圾郵件傳送者卻可以利用這些命令從警惕性不高和缺乏經驗的郵件系統管理員的工作
漏洞中獲取系統賬戶等信息,從而帶來潛在的安全隱患。
有了郵件防火牆作為郵件收發的“協定翻譯機”,能夠將這些不安全的協定禁止掉,杜絕此類安全漏洞。
擦除郵件路由痕跡
郵件防火牆的“郵件路由痕跡擦除器”的作用,就是要擦除這些
冗餘的路由信息,使得外發的郵件信息經過“過濾”,從而消除此類安全隱患。
防止開放式中繼
通過在“郵件防火牆”中設定嚴格的中繼規則,可以防止Open Relay帶來的垃圾郵件隱患。
常見產品
梭子魚實時防禦技術使得梭子魚反垃圾及
病毒防火牆能更快的阻止最新的病毒、
間諜軟體及其他各種惡意軟體。當這類郵件爆發時,梭子魚能第一時間予以發現並阻斷。此功能亦稱之為“零時防禦”,集成在病毒過濾的第三層。
和防火牆的關係
防火牆是一個廣義上稱呼,從實際套用的角度看防火牆是為了保護企業內部網路資源(如www伺服器、檔案伺服器等等)免受外部安全威脅侵害的防護設備,通過設定不同的防護級別和防護措施對內部網路資源實行實施保護。根據它所防護的側重點的不同,防火牆可以分為病毒防火牆,
DDOS(分散式拒絕服務攻擊)防火牆,垃圾郵件防火牆等等。
簡而言之,反垃圾郵件防火牆是用來反垃圾郵件的專用防火牆。
防火牆從工作方式上來說都有一個共性:分析出入防火牆的數據包,決定放行還是阻斷。在實際部署中,作為專用垃圾郵件防火牆可以放在普通防火牆的前面也可是防火牆的後面,建議放在後面在邏輯上保持和郵件伺服器是串聯的關係就可以了。
a)安裝在防火牆的外面就要修改(或是增加)MX記錄,是MX記錄能夠指向反垃圾郵件防火牆,如果有兩條的話,指向反垃圾郵件防火牆的MX記錄有優先權要調的高一些。
b)安裝在防火牆的裡面要將
SMTP的NAT記錄指向反垃圾郵件防火牆此兩種情況都不需要在伺服器和客戶端軟體(outlookfoxmail等)做任何更改 。