【文章內(nèi)容簡(jiǎn)介】 要半小時(shí)整個(gè)郵件安全網(wǎng)關(guān)的系統(tǒng)便可架設(shè)完畢。所有來(lái)自互聯(lián)網(wǎng)的郵件在進(jìn)入 **公司郵件服務(wù)器之前必須經(jīng)過(guò)梭子魚(yú)的嚴(yán)格檢查。 故障回退 ： 由于是做防火墻的 SMTP端口映射，所以在梭子魚(yú)發(fā)生故障時(shí)可以把防火墻上的映射指向郵件服務(wù)器，該過(guò)程需要由人工完成。 梭子魚(yú) 病毒及垃圾郵件防火墻 解決方案 2. 雙機(jī)冗余部署方案 梭子魚(yú)在 **網(wǎng)絡(luò)環(huán)境中的 局部簡(jiǎn)單 部署位置 示意圖 ： 考慮到單機(jī)部署方案中的單點(diǎn)故障，我們可以考慮部署兩臺(tái)梭子魚(yú)做雙機(jī)熱備。 雙機(jī)熱備的優(yōu)點(diǎn)： (1) 提供冗余和高可用性，其中一臺(tái)梭子魚(yú)發(fā)生故障也不會(huì)影響垃圾郵件防火墻系統(tǒng)的正常工作。 (2) 提供雙倍的性能。兩臺(tái)梭子魚(yú)通過(guò)負(fù)載均衡的方式處理郵件。 3. 梭子魚(yú)病毒及垃圾郵件防火墻簡(jiǎn)介 梭子魚(yú)垃圾郵件防火墻提供強(qiáng)大、豐富 的垃圾郵件及病毒防護(hù)功能，可防止郵件服務(wù)器不堪重負(fù)。采用基于 WEB 的管理控制界面，操作簡(jiǎn)便，界面友好。整合了十?dāng)?shù)項(xiàng)垃圾郵件過(guò)濾技術(shù)，設(shè)置了 12 層垃圾及病毒過(guò)濾層，可有效地抵御垃圾郵件及病毒襲擊。該產(chǎn)品易于安裝， 10 分內(nèi)即可順利安裝并運(yùn)行產(chǎn)品，且無(wú)需安裝軟件也無(wú)需對(duì)現(xiàn)有系統(tǒng)進(jìn)行修改。它具備自動(dòng)的更新功能，極大地減輕了管理負(fù)擔(dān)，同時(shí)也使得郵件服務(wù)器達(dá)到最大程度的保護(hù)。 梭子魚(yú) 病毒及垃圾郵件防火墻 解決方案 梭子魚(yú)垃圾郵件過(guò)濾技術(shù)介紹 梭子魚(yú)垃圾郵件防火墻的十二層過(guò)濾架構(gòu)優(yōu)化了每封電子郵件的處理，使產(chǎn)品處理能力達(dá)到每天百萬(wàn)封以上郵件。相對(duì)于軟件來(lái)說(shuō)，梭子魚(yú)垃圾郵件防火墻能夠極大地減少病毒和垃圾郵件對(duì)郵件服務(wù)器帶來(lái)的負(fù)荷。 除此之外，梭子魚(yú)垃圾郵件防火墻還包括附件掃描，病毒過(guò)濾，比率控制等技術(shù)，保證接收郵件都是合法無(wú)毒的。 梭子魚(yú) 的 12 層 過(guò)濾 機(jī)制 ，其中 5 層 是 連接控制過(guò)濾（防攻擊層、速率控制層、 IP 過(guò)濾層、發(fā)件人 認(rèn)證 、收件人 檢查 ）， 7 層郵件內(nèi)容過(guò)濾（病毒檢查、用戶(hù)自定義規(guī)則、郵件指紋檢查、郵件意圖分析檢查、圖片識(shí)別、貝葉斯分析、基于規(guī)則評(píng)分） 。 連接控制過(guò)濾 梭子魚(yú)（ Barracuda）在連接控制將首先檢查 TCP/IP的合法性以防止 DOS攻擊或其它類(lèi)型的非法連接，接著將對(duì) SMTP 連接的頻率進(jìn)行統(tǒng)計(jì)，防止非法發(fā)送者大量的發(fā)送垃圾郵件；接著，通過(guò)多重 RBL（ Realtime Blackhole List）檢查核實(shí)發(fā)件者 IP 地址是否合法。在同類(lèi)產(chǎn)品中，只有梭子魚(yú)提供多重的 RBL 檢測(cè)，即梭子魚(yú)公司 RBL 服務(wù)器、國(guó)際組織 RBL 服務(wù)器和用戶(hù)自定義 RBL 服務(wù)器。梭子魚(yú)還率先使用 SPF/微軟 Call ID 技術(shù)驗(yàn)證發(fā)件人的合法性。當(dāng)然，管理員可以定義自己的 IP 黑名單，拒絕來(lái)自這些 IP 地址的連接；梭子魚(yú)提供了 IP 攻擊的報(bào)表，以方便管理員決策是否將這些 IP 列入黑名單。管理員還可以定義 IP 地址白名單，對(duì)來(lái)自這些 IP 地址的郵件不進(jìn)行垃圾檢查，但是仍然執(zhí)行病毒掃描及附件的檢查。 梭子魚(yú)（ Barracuda）在 SMTP 連接 應(yīng)用層進(jìn)行五道檢查，分別是發(fā)件人認(rèn)證、發(fā)件人黑白名單、收件人核實(shí)、郵件協(xié)議與屬性檢查和郵件路由。 發(fā)件人認(rèn)證包括兩層含義，其一是轉(zhuǎn)發(fā)控制，默認(rèn)情況下，梭子魚(yú)關(guān)閉（ Open Relay），不會(huì)轉(zhuǎn)發(fā)郵 梭子魚(yú) 病毒及垃圾郵件防火墻 解決方案 件；其二如果需要梭子魚(yú)發(fā)送郵件，梭子魚(yú)將認(rèn)證發(fā)件人的合法性。認(rèn)證的方式包括指定轉(zhuǎn)發(fā) IP，指定信任域、指定信任發(fā)件人， SMTP 認(rèn)證， LDAP 認(rèn)證。 發(fā)件人黑白名單針對(duì)郵件地址的黑白名單。例如：管理員可以把本公司重要客戶(hù)的發(fā)信人地址列入到白名單，這些郵件將不會(huì)進(jìn)行垃圾檢查而快速的通過(guò)過(guò)濾網(wǎng)關(guān)到達(dá)用戶(hù)的郵箱。梭子魚(yú)（ Barracuda）還具有幾項(xiàng)獨(dú)特的功能，如發(fā)件人欺騙保護(hù)，這項(xiàng)功能阻止垃圾郵件仿冒用戶(hù)的郵件域給用戶(hù)發(fā)信。再如，收件人黑白名單功能，如公司內(nèi)部使用的一些郵件群不 需要接收外部郵件，此時(shí)可以將之加入收件人黑名單中，拒絕外部垃圾郵件 的騷擾。 郵件協(xié)議與屬性控制連接是否符合郵件協(xié)議，檢查郵件的大小、每 SMTP 連接的郵件數(shù)、連接的時(shí)長(zhǎng)等信息，避免不合法、長(zhǎng)時(shí)間占用系統(tǒng)資源或大范圍的群發(fā)和垃圾郵件攻擊。 梭子魚(yú)（ Barracuda）支持通過(guò) SMTP或 LDAP 方式對(duì)收件人的地址進(jìn)行核實(shí)，避免垃圾郵件者對(duì)服務(wù)器發(fā)動(dòng)字典 攻擊、 DHA 攻擊，避 免郵件服務(wù)器接收不存在的收件人郵件，從而減 少了數(shù)據(jù)流，減輕了郵件服務(wù)器的負(fù)擔(dān)。 郵件路由包括基于郵件域的路由、基于主機(jī)地址的路由、流量控制與延時(shí)投遞，共同保證正常郵件從網(wǎng)關(guān)有控制、有保障的轉(zhuǎn)發(fā)到后臺(tái)郵件服務(wù)器。在郵件服務(wù)器發(fā)生故障時(shí)，梭子魚(yú)（ Barracuda）將保留郵件 48 小時(shí)（默認(rèn)時(shí)間），從而保證郵件服務(wù)器發(fā)生故障時(shí)用戶(hù)的重要信息不會(huì)丟失。 內(nèi)容過(guò)濾 內(nèi)容過(guò)濾是梭子魚(yú)（ Barracuda）產(chǎn)品的核心競(jìng)爭(zhēng)力，梭子魚(yú)通過(guò)郵件指紋技術(shù)、意圖分析技術(shù)、圖片分析技術(shù)、貝葉斯過(guò)濾技 術(shù)、基于規(guī)則的評(píng)分系統(tǒng)等攔截垃圾郵件，并獨(dú)創(chuàng)雙層病毒掃描引擎對(duì)郵件病毒進(jìn)行高效的掃描。梭子魚(yú)還對(duì)附件進(jìn)行垃圾和病毒掃描。 郵件指紋技術(shù) 垃圾郵件發(fā)送的商業(yè)模型是大規(guī)模的發(fā)出同樣的郵件，通常幾天或者幾周內(nèi)甚至幾個(gè)月內(nèi)發(fā)送數(shù)以百萬(wàn)計(jì)的郵件，這些郵件雖然可能在細(xì)微處有所變化，但是通過(guò)特定的算法，卻可以將這些郵件的共同特征提取出來(lái)。為此， 博威特 公司設(shè)置了大量“蜜罐”，或者說(shuō)誘騙郵件地址，是用于收集大量的垃圾郵件。再依靠特定的算法，將這些郵件的共同特征――郵件指紋提取出來(lái)，形成郵件指紋庫(kù)。梭子魚(yú)收到郵件后，發(fā)送 相關(guān)的信息到遠(yuǎn)程的郵件指紋數(shù)據(jù)庫(kù)中進(jìn)行核對(duì)，從而迅速的確認(rèn)這封郵件是否是垃圾 郵件 。 這種指紋分析的方法和當(dāng)前反病毒體系中病毒特征碼的原理是一樣的。在 面對(duì)一些最新出現(xiàn)的或罕見(jiàn)的 梭子魚(yú) 病毒及垃圾郵件防火墻 解決方案 垃圾郵件時(shí)，它沒(méi)有多大效用。但是對(duì)于那些 大量發(fā)送的相同的垃圾郵件，這種方法卻具有最高的效率。而且這種方法幾乎不會(huì)產(chǎn)生誤判。梭子魚(yú)（ Barracuda）每天更新數(shù)百個(gè)郵件指紋信息。 意圖分析技術(shù) 垃圾郵件技術(shù)如今變得愈加復(fù)雜，許多垃圾郵件變得與正常的郵件幾乎一樣，在這些郵件中含有 URL鏈接，這個(gè)鏈接往往指向一些不健康的網(wǎng)站，或某個(gè)商品促銷(xiāo)的網(wǎng)站。梭子魚(yú)為此創(chuàng)建了意圖分析技術(shù)，構(gòu)建了全球最大、含蓋了全球十幾個(gè)語(yǔ)種的垃圾郵件 URLS 地址數(shù)據(jù)庫(kù)。它檢查郵件中的 URL 鏈接，確定郵件是否為垃圾郵件。 該數(shù)據(jù)庫(kù)中的不良網(wǎng)址數(shù)量已經(jīng)超過(guò) 20萬(wàn) ，并且每天增加或更新數(shù)百個(gè)。 圖象識(shí)別技術(shù)（ OCR）及 PDF 識(shí)別技術(shù) 2020 年 下半年 以來(lái)， 圖象類(lèi) 垃圾郵件的數(shù)量越來(lái)越多 ，如下圖，梭子魚(yú)采用了 OCR 技術(shù)對(duì)圖片中的文字進(jìn)行識(shí)別，在依據(jù)圖片規(guī)則進(jìn)行評(píng)分。對(duì)于特別復(fù)雜的圖片，梭子魚(yú)還能將之做成郵件指紋予以判斷。2020 年來(lái)， PDF 類(lèi)型的垃圾郵件又迅速增加，梭子魚(yú)有開(kāi)發(fā)了 PDF 識(shí)別技術(shù)，對(duì) PDF 文件內(nèi)容進(jìn)行垃圾郵件評(píng)分。 這類(lèi)垃圾郵件，采用其它的過(guò)濾技術(shù)基本上是無(wú)法過(guò)濾的。只有梭子魚(yú)的意圖分析才是其“ 特效藥 ” 梭子魚(yú) 病毒及垃圾郵件防火墻 解決方案 貝葉斯過(guò)濾技術(shù) 貝葉斯分析：命名于著名數(shù)學(xué)家托馬斯 ?貝葉 斯（ 17021761)，他發(fā)展了一個(gè)數(shù)學(xué)領(lǐng)域全新的可能性推論理論。貝葉斯分析采用過(guò)去事件的知識(shí)預(yù)測(cè)未來(lái)事件。 應(yīng)用到反垃圾郵件領(lǐng)域，貝葉斯過(guò)濾與以前收到的垃圾郵件 與合法郵件中相同詞語(yǔ)與短語(yǔ)出現(xiàn)的頻率對(duì)比此郵件中有問(wèn)題的詞語(yǔ)與短語(yǔ) 來(lái)確定垃圾郵件的可能性。他能自動(dòng)適應(yīng)垃圾郵件變化。是一種動(dòng)態(tài)的智能過(guò)濾技術(shù)。 貝葉斯過(guò)濾器是非常強(qiáng)大的，也是阻斷垃圾郵件最為精確的技術(shù)。大多數(shù)報(bào)告顯示，當(dāng)貝葉斯過(guò)濾器被“有效培訓(xùn)”以后，過(guò)濾器過(guò)濾垃圾郵件的準(zhǔn)確率達(dá)到 99%。為了培訓(xùn)貝葉斯過(guò)濾器，需要該收件人大約200 封有效郵件及 200 封垃圾郵件。在目標(biāo)收件人中有越多的歷史數(shù)據(jù)庫(kù)，過(guò)濾器越準(zhǔn)確。參見(jiàn) Paul Graham先生著作的“優(yōu)化貝葉斯過(guò)濾器” 梭子魚(yú)的貝葉斯過(guò)濾技術(shù)領(lǐng)先于其它產(chǎn)品，它采用了全新的分詞技術(shù)，同時(shí)支持單字節(jié)和雙字節(jié)語(yǔ)種，需要學(xué)習(xí)的樣本數(shù)量更少。貝葉斯能保正系統(tǒng)始終具有較高的過(guò)濾率，其它的過(guò)濾技術(shù)是一種靜態(tài)的技術(shù)，依賴(lài)于規(guī)則庫(kù)或特征庫(kù)的更新。而貝葉斯是智能的技術(shù)，他能自動(dòng)學(xué)習(xí)新的垃圾郵件，調(diào)整自己的字詞頻度表，使得系統(tǒng)始終維持較高的過(guò)濾水準(zhǔn)。 采用了分用戶(hù)貝葉斯后，使得不同郵件用戶(hù)個(gè)性化的需求得以真正的實(shí)現(xiàn)。一般反垃圾郵件分用戶(hù)個(gè)性化設(shè)置僅限于個(gè)人黑白名單。無(wú)法滿(mǎn)足不同用戶(hù)對(duì)郵件的不同 偏好，然而用戶(hù)通過(guò)調(diào)整培訓(xùn)自己的分用戶(hù)貝葉斯數(shù)據(jù) 庫(kù)，就可以簡(jiǎn)單地 實(shí)現(xiàn)這一功能。 基于規(guī)則的評(píng)分系統(tǒng) 梭子魚(yú) 病毒及垃圾郵件防火墻 解決方案 垃圾郵件制造者清楚反垃圾郵件的原理，因此也越來(lái)越狡猾，其中常用的一種辦法 經(jīng)常將一些單詞拼錯(cuò)，“ Viagra”可能被有意地拼寫(xiě)為“ V1agra”或者任何一種可能的變體，這樣普通的詞語(yǔ)過(guò)濾器就無(wú)法識(shí)別。 基于規(guī)則的評(píng)分系統(tǒng)也被稱(chēng)為人工智能（ AI）系統(tǒng)，博威特網(wǎng)絡(luò)基于海量郵件的分析，定義了近 6000條垃圾郵件規(guī)則，每一條規(guī)則對(duì)應(yīng)一定的評(píng)分，一封郵件與規(guī)則庫(kù)進(jìn)行比較，每符合一條規(guī)則加上該規(guī)則評(píng)分，獲得的分?jǐn)?shù)越高，該郵件是垃圾郵件的可能性就越高。如果一封郵件超過(guò) 一定得分門(mén)檻（閾值），該郵件將被分類(lèi)為垃圾郵件。 在這些規(guī)則中，可以用來(lái)識(shí)別變化的詞語(yǔ)或短語(yǔ)，例如 垃圾郵件引擎?zhèn)蓽y(cè)到變化型文字，垃圾郵件引擎會(huì)自動(dòng)回復(fù)到原先字詞，例如 回復(fù)為 VIAGRA。 這些規(guī)則不僅包括語(yǔ)義分析，還包括對(duì)垃圾郵件發(fā)送工具的檢測(cè)、對(duì)郵件中含有圖片形態(tài)和比重的檢測(cè)，對(duì)于 HTML 格式的各種特征的規(guī)則等。通過(guò)對(duì)一封郵件所有相關(guān)的信息都進(jìn)行相關(guān)的智能分析，最終能夠準(zhǔn)確的判定一封郵件。 由于垃圾郵件發(fā)送人及制造垃圾郵件的程序不是靜態(tài)的，因此博威特持續(xù)追蹤互聯(lián)網(wǎng)上的垃圾郵件的變化， 及時(shí)更新規(guī)則庫(kù)。采用這項(xiàng)技術(shù)，可以清除 90%的收到郵件中的垃圾郵件。梭子魚(yú)還專(zhuān)門(mén)定義了中文簡(jiǎn)體、繁體、日語(yǔ)等規(guī)則分庫(kù)，以適應(yīng)雙字節(jié)郵件的過(guò)濾。 梭子魚(yú)（ Barracuda）還提供了豐富強(qiáng)大的自定義過(guò)濾策略：用戶(hù)可以對(duì)郵件信頭、主 題、信體設(shè)立阻斷、隔離、標(biāo)記、關(guān)鍵字白名單等不同類(lèi)型的關(guān)鍵字。在 所有檢查都進(jìn)行完畢 之 后，根據(jù)用戶(hù)設(shè)立的評(píng)分策略，對(duì)郵件進(jìn)行允許、標(biāo)記、隔離、阻斷等操作。梭子魚(yú)（ Barracuda）支持完全的正則表達(dá)式，為了方便用戶(hù)使用，梭子魚(yú)公司提供了不同語(yǔ)種的關(guān)鍵字模版。 4. 梭子魚(yú)垃圾郵件防火墻 12 層防護(hù)體系特點(diǎn) 每一封進(jìn)入梭子魚(yú)的郵件，都要經(jīng)過(guò)多達(dá)十二層的反垃圾過(guò)濾，只有通過(guò)了全部十二層過(guò)濾，才會(huì)由梭子魚(yú)轉(zhuǎn)發(fā)給郵件服務(wù)器，從而保障了郵件服務(wù)器不受垃圾郵件侵?jǐn)_，這十層過(guò)濾依次是： 1） 拒絕服務(wù)攻擊及安全防護(hù)層： 可有效地阻止針對(duì)郵件服務(wù)器的 DoS或 DDoS攻擊。 2） 速率控制 ：該層檢查每個(gè) IP 的連接頻率，如超過(guò)用戶(hù)定義值，則阻止其連接，直至符合規(guī)定。該層還可限定每連接郵件數(shù)、每連接時(shí)長(zhǎng)等。保護(hù)郵件服務(wù)器免受海量郵件攻擊。 3） IP 過(guò)濾層： 該層對(duì)郵件的 IP 來(lái)源進(jìn)行分析，阻止不良 IP 來(lái)源的郵件。包括梭子魚(yú)實(shí)時(shí)黑白名單庫(kù)分析，國(guó)際國(guó)內(nèi)公共 RBLs 分析，用戶(hù)自定義的 IP 黑白名單分析。該層可過(guò)濾超過(guò) 30%的垃圾郵件，在某 梭子魚(yú) 病毒及垃圾郵件防火墻 解決方案 些地區(qū)甚至可阻斷 90%以上的垃圾郵件。 4） 發(fā)送者驗(yàn)證 ：該層對(duì)發(fā)件人的合法性進(jìn)行分析，阻止不良或虛假的發(fā)件人。包括：發(fā)件人域名合法性檢測(cè)，真假性檢測(cè)，是否偽造成別人的域在發(fā)郵件，是否可以通過(guò) SMTP 認(rèn)證等。 5） 收件人驗(yàn)證： 該層對(duì)收件人的合法性進(jìn)行分析，拒絕不存在的收件人郵件。包括：是否屬于轉(zhuǎn)發(fā)判斷，通過(guò) SM