梭子鱼病毒及垃圾邮件防火墙解决方案

梭子鱼病毒及垃圾邮件防火墙解决方案内容摘要：

要半小时整个邮件安全网关的系统便可架设完毕。 所有来自互联网的邮件在进入 **公司邮件服务器之前必须经过梭子鱼的严格检查。 故障回退 ： 由于是做防火墙的 SMTP端口映射，所以在梭子鱼发生故障时可以把防火墙上的映射指向邮件服务器，该过程需要由人工完成。 梭子鱼 病毒及垃圾邮件防火墙 解决方案 2. 双机冗余部署方案 梭子鱼在 **网络环境中的 局部简单 部署位置 示意图 ： 考虑到单机部署方案中的单点故障，我们可以考虑部署两台梭子鱼做双机热备。 双机热备的优点： (1) 提供冗余和高可用性，其中一台梭子鱼发生故障也不会影响垃圾邮件防火墙系统的正常工作。 (2) 提供双倍的性能。 两台梭子鱼通过负载均衡的方式处理邮件。 3. 梭子鱼病毒及垃圾邮件防火墙简介 梭子鱼垃圾邮件防火墙提供强大、丰富 的垃圾邮件及病毒防护功能，可防止邮件服务器不堪重负。 采用基于 WEB 的管理控制界面，操作简便，界面友好。 整合了十数项垃圾邮件过滤技术，设置了 12 层垃圾及病毒过滤层，可有效地抵御垃圾邮件及病毒袭击。 该产品易于安装， 10 分内即可顺利安装并运行产品，且无需安装软件也无需对现有系统进行修改。 它具备自动的更新功能，极大地减轻了管理负担，同时也使得邮件服务器达到最大程度的保护。 梭子鱼 病毒及垃圾邮件防火墙 解决方案 梭子鱼垃圾邮件过滤技术介绍 梭子鱼垃圾邮件防火墙的十二层过滤架构优化了每封电子邮件的处理，使产品处理能力达到每天百万封以上邮件。 相对于软件来说，梭子鱼垃圾邮件防火墙能够极大地减少病毒和垃圾邮件对邮件服务器带来的负荷。 除此之外，梭子鱼垃圾邮件防火墙还包括附件扫描，病毒过滤，比率控制等技术，保证接收邮件都是合法无毒的。 梭子鱼 的 12 层 过滤 机制 ，其中 5 层 是 连接控制过滤（防攻击层、速率控制层、 IP 过滤层、发件人 认证 、收件人 检查 ）， 7 层邮件内容过滤（病毒检查、用户自定义规则、邮件指纹检查、邮件意图分析检查、图片识别、贝叶斯分析、基于规则评分）。 连接控制过滤 梭子鱼（ Barracuda）在连接控制将首先检查 TCP/IP的合法性以防止 DOS攻击或其它类型的非法连接，接着将对 SMTP 连接的频率进行统计，防止非法发送者大量的发送垃圾邮件；接着，通过多重 RBL（ Realtime Blackhole List）检查核实发件者 IP 地址是否合法。 在同类产品中，只有梭子鱼提供多重的 RBL 检测，即梭子鱼公司 RBL 服务器、国际组织 RBL 服务器和用户自定义 RBL 服务器。 梭子鱼还率先使用 SPF/微软 Call ID 技术验证发件人的合法性。 当然，管理员可以定义自己的 IP 黑名单，拒绝来自这些 IP 地址的连接；梭子鱼提供了 IP 攻击的报表，以方便管理员决策是否将这些 IP 列入黑名单。 管理员还可以定义 IP 地址白名单，对来自这些 IP 地址的邮件不进行垃圾检查，但是仍然执行病毒扫描及附件的检查。 梭子鱼（ Barracuda）在 SMTP 连接 应用层进行五道检查，分别是发件人认证、发件人黑白名单、收件人核实、邮件协议与属性检查和邮件路由。 发件人认证包括两层含义，其一是转发控制，默认情况下，梭子鱼关闭（ Open Relay），不会转发邮 梭子鱼 病毒及垃圾邮件防火墙 解决方案 件；其二如果需要梭子鱼发送邮件，梭子鱼将认证发件人的合法性。 认证的方式包括指定转发 IP，指定信任域、指定信任发件人， SMTP 认证， LDAP 认证。 发件人黑白名单针对邮件地址的黑白名单。 例如：管理员可以把本公司重要客户的发信人地址列入到白名单，这些邮件将不会进行垃圾检查而快速的通过过滤网关到达用户的邮箱。 梭子鱼（ Barracuda）还具有几项独特的功能，如发件人欺骗保护，这项功能阻止垃圾邮件仿冒用户的邮件域给用户发信。 再如，收件人黑白名单功能，如公司内部使用的一些邮件群不 需要接收外部邮件，此时可以将之加入收件人黑名单中，拒绝外部垃圾邮件 的骚扰。 邮件协议与属性控制连接是否符合邮件协议，检查邮件的大小、每 SMTP 连接的邮件数、连接的时长等信息，避免不合法、长时间占用系统资源或大范围的群发和垃圾邮件攻击。 梭子鱼（ Barracuda）支持通过 SMTP或 LDAP 方式对收件人的地址进行核实，避免垃圾邮件者对服务器发动字典 攻击、 DHA 攻击，避 免邮件服务器接收不存在的收件人邮件，从而减 少了数据流，减轻了邮件服务器的负担。 邮件路由包括基于邮件域的路由、基于主机地址的路由、流量控制与延时投递，共同保证正常邮件从网关有控制、有保障的转发到后台邮件服务器。 在邮件服务器发生故障时，梭子鱼（ Barracuda）将保留邮件 48 小时（默认时间），从而保证邮件服务器发生故障时用户的重要信息不会丢失。 内容过滤 内容过滤是梭子鱼（ Barracuda）产品的核心竞争力，梭子鱼通过邮件指纹技术、意图分析技术、图片分析技术、贝叶斯过滤技 术、基于规则的评分系统等拦截垃圾邮件，并独创双层病毒扫描引擎对邮件病毒进行高效的扫描。 梭子鱼还对附件进行垃圾和病毒扫描。 邮件指纹技术 垃圾邮件发送的商业模型是大规模的发出同样的邮件，通常几天或者几周内甚至几个月内发送数以百万计的邮件，这些邮件虽然可能在细微处有所变化，但是通过特定的算法，却可以将这些邮件的共同特征提取出来。 为此， 博威特 公司设置了大量“蜜罐”，或者说诱骗邮件地址，是用于收集大量的垃圾邮件。 再依靠特定的算法，将这些邮件的共同特征――邮件指纹提取出来，形成邮件指纹库。 梭子鱼收到邮件后，发送 相关的信息到远程的邮件指纹数据库中进行核对，从而迅速的确认这封邮件是否是垃圾 邮件。 这种指纹分析的方法和当前反病毒体系中病毒特征码的原理是一样的。 在 面对一些最新出现的或罕见的 梭子鱼 病毒及垃圾邮件防火墙 解决方案 垃圾邮件时，它没有多大效用。 但是对于那些 大量发送的相同的垃圾邮件，这种方法却具有最高的效率。 而且这种方法几乎不会产生误判。 梭子鱼（ Barracuda）每天更新数百个邮件指纹信息。 意图分析技术 垃圾邮件技术如今变得愈加复杂，许多垃圾邮件变得与正常的邮件几乎一样，在这些邮件中含有 URL链接，这个链接往往指向一些不健康的网站，或某个商品促销的网站。 梭子鱼为此创建了意图分析技术，构建了全球最大、含盖了全球十几个语种的垃圾邮件 URLS 地址数据库。 它检查邮件中的 URL 链接，确定邮件是否为垃圾邮件。 该数据库中的不良网址数量已经超过 20万 ，并且每天增加或更新数百个。 图象识别技术（ OCR）及 PDF 识别技术 2020 年 下半年 以来， 图象类 垃圾邮件的数量越来越多 ，如下图，梭子鱼采用了 OCR 技术对图片中的文字进行识别，在依据图片规则进行评分。 对于特别复杂的图片，梭子鱼还能将之做成邮件指纹予以判断。 2020 年来， PDF 类型的垃圾邮件又迅速增加，梭子鱼有开发了 PDF 识别技术，对 PDF 文件内容进行垃圾邮件评分。 这类垃圾邮件，采用其它的过滤技术基本上是无法过滤的。 只有梭子鱼的意图分析才是其“ 特效药 ” 梭子鱼 病毒及垃圾邮件防火墙 解决方案 贝叶斯过滤技术 贝叶斯分析：命名于著名数学家托马斯 ▫贝叶 斯（ 17021761)，他发展了一个数学领域全新的可能性推论理论。 贝叶斯分析采用过去事件的知识预测未来事件。 应用到反垃圾邮件领域，贝叶斯过滤与以前收到的垃圾邮件 与合法邮件中相同词语与短语出现的频率对比此邮件中有问题的词语与短语 来确定垃圾邮件的可能性。 他能自动适应垃圾邮件变化。 是一种动态的智能过滤技术。 贝叶斯过滤器是非常强大的，也是阻断垃圾邮件最为精确的技术。 大多数报告显示，当贝叶斯过滤器被“有效培训”以后，过滤器过滤垃圾邮件的准确率达到 99%。 为了培训贝叶斯过滤器，需要该收件人大约200 封有效邮件及 200 封垃圾邮件。 在目标收件人中有越多的历史数据库，过滤器越准确。 参见 Paul Graham先生著作的“优化贝叶斯过滤器” 梭子鱼的贝叶斯过滤技术领先于其它产品，它采用了全新的分词技术，同时支持单字节和双字节语种，需要学习的样本数量更少。 贝叶斯能保正系统始终具有较高的过滤率，其它的过滤技术是一种静态的技术，依赖于规则库或特征库的更新。 而贝叶斯是智能的技术，他能自动学习新的垃圾邮件，调整自己的字词频度表，使得系统始终维持较高的过滤水准。 采用了分用户贝叶斯后，使得不同邮件用户个性化的需求得以真正的实现。 一般反垃圾邮件分用户个性化设置仅限于个人黑白名单。 无法满足不同用户对邮件的不同 偏好，然而用户通过调整培训自己的分用户贝叶斯数据 库，就可以简单地 实现这一功能。 基于规则的评分系统 梭子鱼 病毒及垃圾邮件防火墙 解决方案 垃圾邮件制造者清楚反垃圾邮件的原理，因此也越来越狡猾，其中常用的一种办法 经常将一些单词拼错，“ Viagra”可能被有意地拼写为“ V1agra”或者任何一种可能的变体，这样普通的词语过滤器就无法识别。 基于规则的评分系统也被称为人工智能（ AI）系统，博威特网络基于海量邮件的分析，定义了近 6000条垃圾邮件规则，每一条规则对应一定的评分，一封邮件与规则库进行比较，每符合一条规则加上该规则评分，获得的分数越高，该邮件是垃圾邮件的可能性就越高。 如果一封邮件超过 一定得分门槛（阈值），该邮件将被分类为垃圾邮件。 在这些规则中，可以用来识别变化的词语或短语，例如 垃圾邮件引擎侦测到变化型文字，垃圾邮件引擎会自动回复到原先字词，例如 回复为 VIAGRA。 这些规则不仅包括语义分析，还包括对垃圾邮件发送工具的检测、对邮件中含有图片形态和比重的检测，对于 HTML 格式的各种特征的规则等。 通过对一封邮件所有相关的信息都进行相关的智能分析，最终能够准确的判定一封邮件。 由于垃圾邮件发送人及制造垃圾邮件的程序不是静态的，因此博威特持续追踪互联网上的垃圾邮件的变化， 及时更新规则库。 采用这项技术，可以清除 90%的收到邮件中的垃圾邮件。 梭子鱼还专门定义了中文简体、繁体、日语等规则分库，以适应双字节邮件的过滤。 梭子鱼（ Barracuda）还提供了丰富强大的自定义过滤策略：用户可以对邮件信头、主 题、信体设立阻断、隔离、标记、关键字白名单等不同类型的关键字。 在 所有检查都进行完毕 之 后，根据用户设立的评分策略，对邮件进行允许、标记、隔离、阻断等操作。 梭子鱼（ Barracuda）支持完全的正则表达式，为了方便用户使用，梭子鱼公司提供了不同语种的关键字模版。 4. 梭子鱼垃圾邮件防火墙 12 层防护体系特点 每一封进入梭子鱼的邮件，都要经过多达十二层的反垃圾过滤，只有通过了全部十二层过滤，才会由梭子鱼转发给邮件服务器，从而保障了邮件服务器不受垃圾邮件侵扰，这十层过滤依次是： 1） 拒绝服务攻击及安全防护层： 可有效地阻止针对邮件服务器的 DoS或 DDoS攻击。 2） 速率控制 ：该层检查每个 IP 的连接频率，如超过用户定义值，则阻止其连接，直至符合规定。 该层还可限定每连接邮件数、每连接时长等。 保护邮件服务器免受海量邮件攻击。 3） IP 过滤层： 该层对邮件的 IP 来源进行分析，阻止不良 IP 来源的邮件。 包括梭子鱼实时黑白名单库分析，国际国内公共 RBLs 分析，用户自定义的 IP 黑白名单分析。 该层可过滤超过 30%的垃圾邮件，在某 梭子鱼 病毒及垃圾邮件防火墙 解决方案 些地区甚至可阻断 90%以上的垃圾邮件。 4） 发送者验证 ：该层对发件人的合法性进行分析，阻止不良或虚假的发件人。 包括：发件人域名合法性检测，真假性检测，是否伪造成别人的域在发邮件，是否可以通过 SMTP 认证等。 5） 收件人验证： 该层对收件人的合法性进行分析，拒绝不存在的收件人邮件。 包括：是否属于转发判断，通过 SM。