企业反垃圾邮件防火墙解决方案

企业反垃圾邮件防火墙解决方案内容摘要：

符合一条规则加上 该规则评分， 获得的分数越高，该邮件是垃圾邮件的可能性就越高。 如果一封邮件超过一定得分门槛，该邮件将被分类为垃圾邮件。 由于 垃圾邮件发送人及制造垃圾邮件的程序不是静态的， 因此博威特持续 追踪互联网上的垃圾邮件的变化，及时更新规则库。 采用这项技术，可 以清除 90%的收到邮件中的垃圾邮件。 3 贝叶斯过滤器 贝叶斯分析：命名于著名数学家托马斯 ▫贝叶斯（ 17021761)， 他发展了一个数学领域全新的可能性推论理论。 贝叶斯分析采用过去事件的知识预测未来事件。 第 21 页 当收到一封邮件时 ，过滤器使用贝叶斯过滤与以前收到的垃圾邮件与合法邮件的中相同词语与短语出现的频率对比此邮件中有问题的词语与短语的来确定垃圾邮件的可能性。 贝叶斯过滤器是非常强大的， 它能自动适应垃圾邮件的变化， 也是阻断垃圾邮件最为精确的技术。 如果采用贝叶斯数据库技术，垃圾邮件识别率持续提高；若不采用该技术，则一段时间后，垃圾邮件识别率将 出现反复，参见下图： 为了便于用户使用，博威特提供初始贝叶斯数据库， 管理员可以在此基础上培训符合本企业所需的贝叶斯数据库。 4 IP 黑名单 IP黑名单是一个常用的垃圾邮件阻断技术。 该技术不需要占用计算机资源，非常易于实施。 如 管理员 发现某个 IP经常性的发送垃圾邮件，可以将其列入 IP黑名单，快速的阻断该垃圾邮件源。 为了便于 管理 使用 该功能 ，梭子鱼提供了垃圾邮件发送者 IP排行榜，方便管理员决策。 5 RBLs (实时黑名单 ) 时间 梭子鱼包括贝叶斯过滤 梭子鱼不包括贝叶斯过滤 第 22 页 RBLs (实时黑名单 ), 也被称为 DNSRBLs, 检查所有收到邮件的 IP地址，与在 RBL中的IP地址核对。 如果该 IP地址是 RBL的一部分，该邮件被识别及阻断。 与黑名单不同，实时黑名单不是由使用单位手动维护的， RBL运营商维护公共 RBLs,使用单位仅需订阅该实时黑名单服务。 6 DNS MX 记录查找 这是一项对于垃圾邮件发送者采用虚假发自及 /或回复邮件地址的有效阻断技术。 梭子鱼在 发自邮件地址的域上进行查找。 如果该域没有一个有效的 DNS MX记录，这样发自地址就是无效的，该邮件就被分类为垃圾邮件。 对回复邮件地址也可以进行相应查找。 7 反向 DNS 查找 这是一种有效的垃圾邮件阻断技术， 梭子鱼 对收到邮 件的来源 IP地址采用反向 DNS查找，如果反向 DNS查找提供的域与邮件上的来源 IP地址相符合，该邮件被接受。 如果不符合， 则拒绝 该邮件。 8 新 反向查找系统 梭子鱼还采用了 采用 发件人许可发自 (SPF)以及微软 Microsoft Caller ID 等新反向查找技术，该技术可以确定一封从某一特定域发送的邮件是否允许从特定的 IP地址发出。 从而有效地防止了垃圾邮件通过伪造发件人发送邮件。 9 发件人邮件地址列入黑名单 管理员可 将发件人或发件人域列入黑名单、 可有效且快速的阻止垃圾邮件的侵入。 10 指纹识别技术 第 23 页 博威特公司设置了大量 蜜罐，或者说诱骗邮件地址，是用于收集大量的垃圾邮件。 通过处理形成邮件指纹库，梭子鱼将收到的邮件与指纹库进行核对，从而能迅速的识别出垃圾邮件。 11 速率控制 及其相关技术 垃圾邮件发送者经常试图通过在很短一段时间发送大量邮件阻塞邮件服务器。 这被称为 DOS(拒绝服务 )攻击。 梭子鱼采用该项技术 ， 能有效地阻止该项针对邮件服务器的攻击行为。 12 意图分析 启发式检测（ Heuristic Detection)会进行一连串的内部测试，决定该邮件是否是垃圾 邮件， 检查邮件中的 URL链接，确定邮件 是否为垃圾邮件 ， 垃圾邮件引擎侦测到变化型文字，垃圾邮件引擎会自动回复到原先字词，例如 VIAGRA。 13 病毒扫描 梭子鱼独创的双层病毒扫描技术，专业查杀病毒邮件。 其邮件病毒特征代码居同行前列。 此外，针对邮件协议、邮件信头、邮件转发 等 梭子鱼 采用了 相关技术进行检查。 第 24 页 三 .梭子鱼垃圾邮件防火墙的 过滤结构 梭子鱼 垃圾邮件处理流程图 每一封邮件进入梭子鱼垃圾邮件防火墙，只有通过了全部十层过滤， 才会由梭子鱼转发给邮件服务器，从而保障了邮件服务器不受垃圾邮件侵扰，这十层过滤依次 是： 1 拒绝服务攻击及安全防护层 ： 可有效地阻止针对邮件服务器的 DoS 或 DDoS 攻击。 2 IP封锁清单 ： 由公共 RBLs及梭子鱼垃圾邮件 IP黑名单数据库提供数据支持， 该层可过滤超过 30%的垃圾邮件，在某些地区甚至可阻断 90%以上的垃圾邮件。 3 速率控制 ： 该层检查某一 IP的连接频率，如超过用户定义值，则阻止其连接，直至符合规定。 该层还可限定每连接邮件数、每连接时长等。 4 第一层病毒防护： 采用 open resource引擎，可查杀绝大部分邮件病毒，该层也对 压缩文件 进行 病毒检查。 第 25 页 5 第二层病毒 防护 ： 该层采用梭子鱼独创的 杀毒引擎，对病毒进行彻底清查。 01020304050607080901001996 1997 1998 1999 2020磁盘电子邮件下载其他 1996~2020年病毒感染的来源（ ICSA实验室） 上表显示了今年来病毒来源百分比的变化， 邮件成为病毒感染的主要方式，因此若采用了梭子鱼垃圾邮件防火墙，可有力的保护企业网并受病毒邮件的侵袭。 在某些实际运行的方案中，用户采用梭子鱼并结合桌面防毒软件即可构建完整的企业网病毒防护。 其经济性大大低于任何一种防毒方案。 数据表明：梭子鱼邮件病毒特征代码高达 25000个。 是当今最全的邮件病毒库之一。 6 用户自定义规则 ： 用户自定义的各种规则的检查，如 发件人身份验证、收件人身份核实、关键字检查、附件类型等。 7 垃圾邮件指纹检查 ： 该层依托梭子鱼庞大的邮件指纹库进行核查。 梭子鱼垃圾邮件的样本来源有， 1 博威特公司在全球设置的大量蜜罐。 这是指纹样本的主要来源。 2 全球数万台梭子鱼分类出的垃圾邮件。 3 某些型号的梭子鱼用户个人发送的垃圾邮件样本。 第 26 页 8 目的分析 ： 该层依托博威特公司建立的 bsf数据库进行检查，为了保障 bsf数据库的准确性，该数据库中的 url地址由人工分拣出来。 梭子鱼的员工精通十数种语言， 因此这些url地址覆盖了十数种语言的垃圾邮件发送网站或因垃圾邮件获利的网站。 博威特公司在中国设有 bsf数据库分拣小组，专门收集 整理 中文简体、繁体 bsf数据库。 9 贝叶斯分析 ： 对邮件的可能性进行推理分析。 10 垃圾邮件值评分 ： 根据规则对邮件进行评分，并整合垃圾邮件指纹检查、目的分析、贝叶斯分析给出的评分， 给出邮件的最终得分。 这十层过滤经过了精心的安排，其检测过程符合 四条 法则： 1 垃圾邮件终止法则： 若某一层过滤判定该邮件不合法或为垃圾，则立即阻断该邮件，结束进程，后面的各层检查不再进行。 2 按序 检查法则： 一个完整的 smtp邮件发送从 helo命令开始，因此梭子鱼从该进程的第一条命令开始 依次 进行检查。 如发现为垃圾，其余数据将不再接收。 3 低消耗优先法则： 占用系统资源较少的 过滤层优先，耗费系统资源大的过滤层靠后。 这样， 系统能以最少的消耗处理最大量的邮件。 4 安全优先法则， 涉及到系统重要安全的 检查先进行。 经过这样的优化， 梭子鱼 具有 了 强大的处理能力，日处理邮件量可达 千万封。 第 27 页 四 .梭子鱼 垃圾邮件处理流程说明 1. 邮件在发送到邮件服务器之前，先经过梭子鱼十层过滤， 据用户定义的评分规则，梭子鱼对邮件采 取阻断、隔离、标记或允许四类动作。 标记及允许的邮件发送给用户，隔离邮件将发送到隔离区 ，阻断邮件也被保留在系统中。 被阻断的信件，用户可以查询并 检视邮件内容、被分类的类别 、阻断的原因 „等资料，通过重送功能 可将邮件重新发送。 2 用户可登录个人隔离区，检查隔离邮件，并可以将隔离邮件发送、删除，或分类为垃圾 、并可定义自己的黑白名单。 用户对所收到的邮件可以进行重新整理，该信息将反馈到梭子鱼及博威特运营中心，用于调整贝叶斯数据库， 或进一步提取指纹等分析。 第 28 页 五 .梭子鱼垃圾邮件防火墙架设与管理 1 梭子鱼垃圾邮件防火墙的安装。 由于采用了软硬件一体化设计的思路，梭子鱼垃圾邮件防火墙的安装变得非常简单，这是因为梭子鱼： 无须安装任何软件 无须改变现有 Email 服务器的设定 支持各种操作系统，包括 Linux, Microsoft Windows, Solaris, MacOS 等； 支持各种邮件系统，包括 Sendmail、 Post Office、 MS Exchange、 Lotus Notes。 因此，梭子鱼的部署非常简单 ，通常只需十分钟即可完成。 下图为 安装逻辑图。 梭子鱼安装在邮件服务器之前， 来自因特网的邮件首先被发送到梭子鱼上，梭子鱼经过检测过滤掉不合格的危险的邮件，将合法的邮件发给邮件服务器。 第 29 页 2 简单透明的 web 操作界面 简单透明的 web 操作界面与图形化报表 梭子鱼垃圾邮件防火墙 提供了简单透明的 web操作界面，并配有在线帮助 ，梭子鱼安装完成后， 95%的配置已经默认设置好，用户只需要根据自己的实际情况作一些调整即可。 该管理界面包含五个部分： 基础管理页：梭子鱼的基本配置 ,如梭子鱼的 XXX设置，垃圾邮件评分等。 配置王成后，梭子鱼即可处理垃圾邮件。 阻断 /接受管理页：包括用户自定义 IP黑白名单、域黑白名单、关键字过滤 等内容。 高级管理页：主要包括邮件协议方面的设置、系统升级 、 备份 、维护、群集等。 用户管理页：包括隔离邮件的处理，用户自定义过滤策略及用户名单的维护。 域设置管理页：多域、多邮件服务器的设置， 域策略设置等。 第 30 页 3 丰富的报表统计功能 梭子鱼 以图表等不同的形式给出了系统处理邮件的状态报告，包括邮件日志统计数据库，每小时邮件流量统计图，每日邮件流量统计图，系统运行状态报表，每日 不同类型邮件排行榜及图表等： 上图中，不同的事件以不同的颜色表示， 若鼠标置于某一数据的上方，则显示该数据占所有事件中的 比例。 第 31 页 系统对每一封邮件的处理都作了详细的记录，参见上图，若点击某一条记录，还将显示该邮件的详细信息，方别用户对邮件进行分析。 如用户想搜索某类邮件，或某一封邮件，可以通过上表中的过滤 条件设置进行搜索，梭子鱼提供了按发件人、收件人、邮件得分、动作原因等十数种搜索条件，使得对邮件日志的阅读变得十分灵活。 4 自动更新服务 梭子鱼 公司建立了一个强大的运营中心 Barracuda Central，进 500名工程师在这个运营中心日以继夜地工作，监控互联网上最新的垃圾邮件及病毒发。