SurfControl: 强劲的反垃圾邮件引擎

RiskFilter邮件安全信息网关建立在一个优化的Linux操作系统上，垃圾邮件过滤模块使用了启发式过滤、数字指纹技术、语义分析和URL黑名单等多种技术。

设计思路

RiskFilter是将安全、可扩展的硬件平台和高效、稳定的应用软件结合在一起的电子邮件安全硬件平台。 推荐七个反垃圾邮件解决方案 -

Suzie - suzie的资料夹

1. SurfControl OS

SurfControl OS是SurfControl开发应用于RiskFilter邮件安全信息网关的、基于Linux的安全操作系统，包含了优化、加固的Linux内核和简单易用的CGI管理界面等增强特性。 推荐七个反垃圾邮件解决方案 - Suzie - suzie的资料夹

2. RiskFilter架构

RiskFilter直接将电子邮件写入裸磁盘，完全绕过操作系统的文件系统，RiskFilter使用数据库管理磁盘存储和分配可用空间。

● 接收模块－Receive Function

本模块负责管理RiskFilter接收的SMTP连接，并根据黑名单、RBL、目录攻击设置进行过滤。通过过滤的电子邮件将根据从数据库查询到的接收队列RQ空间内的空闲位置直接写入磁盘，并通知规则模块

Rules Function对这封电子邮件进行下一步处理，传递参数为电子邮件在RQ内的位置指针。 ● 接收队列－Receive Queue（RQ）

RiskFilter将所有通过接收模块过滤的电子邮件写入接收队列RQ。

● 发送队列 － Delivery Queue （DQ）

RiskFilter将延时发送的邮件保存在DQ中。

● 规则模块－Rules Function

规则模块根据过滤规则对邮件进行分析处理。如果一封邮件触发了某一条规则，规则模块将执行以下动作中的一种: 投递、删除、隔离。

● 发送模块 － Send Function

发送模块根据邮件路由设置试图将邮件传递到下一跳，如果第一次传递失败，发送模块将查询数据库寻找发送队列DQ空间中的空闲位置，从数据库当中删除RQ指针，增加DQ指针，并将该邮件写入DQ，等待重新发送。发送模块使用延时重发机制确保邮件的发送

发送模块支持TLS对MTA之间的SMTP传输进行加密。TLS使用基于证书的身份认证、对称密钥加密（共享密钥加密）和HMAC防篡改编码，保证了邮件在传输过程中不会错传、泄密和篡改。RiskFilter可以将证书以cer格式导入和导出。

● 管理服务 － Administrative Service

管理服务提供了对Web管理的审计功能。

● 个人垃圾邮件管理 － End User Spam Management （EUSM）

个人垃圾邮件管理允许用户自行查看和处理ASA隔离的垃圾邮件，EUSM通过LDAP验证个人用户的身份信息。

● 个人用户控制 － End-User Control 该功能允许/禁止个人用户创建使用个人黑白名单。

● mySQL数据库

mySQL数据库保存配置信息、规则、邮件ID、RQ/DQ指针和隔离队列指针，数据库不保存邮件。

● LDAP

LDAP是一种使用开放网络协议访问信息服务的开放式标准协议，LDAP使用树状层次结构保存信息。RiskFilter查询LDAP检查收件人地址的有效性，并为EUSM验证个人用户身份。

● 反垃圾邮件引擎 － Anti Spam Agent（ASA）

RiskFilter反垃圾邮件引擎ASA集成了四种反垃圾邮件技术: 启发式分析、数字指纹、语义分析和互联网风险地址，由SurfControl全球的内容安全专家365×7×24小时不间断维护更新ASA数据库，提供准确率高于99.2%、误判率低于0.2%的垃圾邮件过滤功能。

● 反病毒引擎 － Anti Virus Agent （AVA）

RiskFilter 5.0内嵌McAfee网关级病毒扫描引擎，保护企业不受病毒及病毒衍生邮件的影响。AVA识别病毒高达16万种，自动的反病毒引擎和病毒定义更新提供了对病毒爆发的即时保护。

● 内容过滤引擎 － Content Rules

RiskFilter提供五种内容过滤引擎: 常规内容过滤器、高级内容过滤器、附件过滤器、多级过滤器和字典过滤器，对邮件头、主题、正文和附件中出现的关键字及邮件属性进行检查，然后进行放行、隔离、通知和删除等操作。 RiskFilter支持对多种附件文件格式的内容检查，即使在多层压缩的文件当中，RiskFilter也可以精确扫描匹配关键字，保护企业机密信息; RiskFilter支持关键字、布尔表达式和正则表达式，并提供支持5种语言的邮件字典; RiskFilter还可识别加密邮件（不能解密检查邮件内容）并进行隔离/删除/通知/放行等操作，避免机密信息通过邮件系统泄露。

● 免责声明引擎－Disclaimer

除了技术方面的安全保障之外，RiskFilter还提供法律方面的保护。自动分析判断邮件格式和编码，在不影响邮件格式的前提下，在经过网关处理的邮件头部或尾部添加企业自定义的法律责任免除声明。

方案实现

1．单机部署

单机部署方式是缺省的出厂配置，它将所有的邮件、日志和配置信息保存在一台RiskFilter设备上。在这种部署方式下，RiskFilter检查所有入埠和出埠的SMTP流量。

2．集群部署

集群部署使用两台或多台RiskFilter创建集群。在这种配置中，一台RiskFilter作为Master，其余的作为Slave。

Master负责管理集群配置、推送规则到Slave、管理Slave配置以及管理所有日志、隔离队列和归档邮件; Slave附属于Master，处理SMTP流量并发送日志、隔离队列和归档邮件到Master，同时随时准备升级为Master。 在集群配置中，Slave承担了主要的过滤任务和RQ/DQ的管理，并将日志、隔离队列和归档邮件发送到Master，这大大提高了Slave的处理效率。

Master管理mySQL数据库中的集群配置信息，并保存从每一台Slave发来的流量/规则日志，所有的管理任务都由Master完成（Slave上的管理服务自动停用），所有规则都从Master下发到Slave。

3．冗余部署

冗余部署使用两台RiskFilter（主-备），配置完全相同。当主机失效时，备机自动接替主机的工作。

CipherTrust: 多路反垃圾，实时防病毒

IronMail集成了邮件系统入侵防御、反垃圾邮件、防病毒以及可控邮件内外发策略等与邮件系统安全相关功能。

用户需求分析

某企业为国内大型企业，共有员工十多万名，遍布全国各地，在多个国家设有驻外机构和办事处，公司大部分的沟通和海外的联系均是以Email的方式，Email是公司内部的重要通信手段。

企业的电子邮件用户按访问方式主要分为两类，一类是总部内部网用户，直接通过内部网访问邮件服务器，另一类是总部以外的各分公司、分支机构用户、出差员工，需要连接到公司的VPN，通过VPN访问内部的邮件服务器。邮件服务器由防火墙做端口映射到公网。对邮件安全的具体需求是: 垃圾邮件过滤、病毒邮件过滤、邮件系统防攻击保护、邮件加密、Webmail 安全传输、内部信息防泄密、自动和精细的报表、灵活的策略控制以及良好的扩展性。

解决方案

1． 产品介绍

CipherTrust IronMail集成了邮件系统入侵防御、防垃圾邮件、防病毒、防蠕虫、可控邮件内外发策略、可控邮件外发内容、电子邮件信息加密等所有与邮件系统安全相关的功能。

（1）反垃圾邮件

IronMail结合了许多种反垃圾邮件技术，确保最有效最准确地侦测非法连接，垃圾邮件。其主要分为6类: 连接分析、词法分析、协议分析、认证协议、流量模式分析和自动学习。其关键技术有:

● 垃圾邮件工具箱（Spam Profiler)的相关引擎集合了多种垃圾邮件侦测技术的结果，为每一条信息创建独一无二的垃圾邮件profile。

● 用户隔离（User Quarantine）使企业最终用户能够审查他们的个人隔离队列及创建白名单，从而对每一条垃圾邮件信息做出精确反馈。

● 遗传优化（Genetic Optimization）自动为每一个垃圾邮件profile设置准确度与有效度，降低运行维护与协调的需要。

● CipherTrust的威胁响应更新(Threat Response Updates)可自动进行实时更新。

（2）反病毒邮件

IronMail支持传统意义的反病毒引擎方式来查杀病毒邮件，并且支持提供多个引擎，提供多重的病毒扫描，用户可以自定义病毒扫描层数和引擎顺序。 IronMail提供了全新的零时差防邮件病毒功能，实时侦测防护未知病毒通过邮件对客户网络、邮件系统的恶意攻击，危害其信息安全。极大减少了对于新的病毒变种或突发疫情的响应时间。

此外，IronMail还具有电子邮件防火墙和入侵防御功能，能全方位地保护电子邮件系统的安全; 自动TLS、SSL加密功能可根据发送方、接收方或内容等要素来保护邮件; 系统还支持多种标准协议的安全代理，保障最终用户与系统进行数据通信的安全传输; 为了防止公司重要资料和机密信息的泄露，IronMail提供了出站审核机制，出站的策略审核与入站审核完全独立，对于特定敏感的邮件可以有效地控制出站，并且支持多种灵活的策略; 实时邮件系统安全报表生成功能支持针对个人邮件账户、用户组、部分、子域、全局域和系统级的报表生成; IronMail策略管理器根据客户需要可以提供基于个人电子邮件账户、电子邮件用户组、部门、子域和全局域创建管理策略。

2． 实施方案

IronMail可以一体化解决用户电子邮件相关的安全需求。将IronMail网关集群直接替换原有邮件服务器集群域名，原有邮件服务器集群被放在IronMail网关集群之后，由IronMail网关集群对邮件系统实施完全的保护。

邮件服务器集群对最终用户并不可见，最终用户发送或接收邮件，无论是通过内部网络还是通过VPN连接，均将所有的请求发送到IronMail网关集群，如果是外发邮件请求，IronMail验证用户身份并确认符合外发邮件策略后，直接投递到目的服务器，如果是接收邮件请求，IronMail通过POP3、IMAP和HTTPS代理，实现最终用户对邮件服务器集群的邮件读取访问，确保从IronMail到最终用户是采用加密数据通信传输。IronMail网关集群采用负载均衡机制，任何一台网关宕机均不会影响到用户正常的邮件收发和使用。

硕琦: 垃圾邮件行为模式分析

系统根据SMTP的动态信息，判断邮件行为是否有异常，同时利用SMTP信息特性实时追踪邮件来源。

邮件卫士

硕琦科技“SpamTrap卫士邮”垃圾邮件防御服务器采用“垃圾邮件行为模式解析”技术，SpamTrap在与远程邮件服务器建立 SMTP 联机做邮件传递时便已开始进行邮件分析。根据 SMTP 的动态信息，判断邮件行为是否有异常（例如伪造寄件者来源，相关信息不一致等等）;

同时利用 SMTP 信息特性实时追踪邮件来源，再搭配 DNS正反解的分析等，验证寄件者的真实身份，并预设上百种“垃圾邮件行为类型Pattern”，无需依赖关键词过滤与各类演算法，避免了因主观判断垃圾邮件内容所引发的误判，更加精确，阻挡率为95%以上。

实时通信协议的行为分析

SpamTrap 在 MTA 执行阶段，实时监控 SMTP 信息，进行回溯追踪; 在未收下电子邮件之前，即可判定是否为垃圾邮件。SpamTrap

将寄件者的邮件设定、发送方式与传输路径视为一邮件通信行为从事解析，不拆开邮件本文与附文件，与系统预设 Pattern 进行比对，决定性判断邮件。