企业邮件系统面临的威胁越来越多,网易邮箱在2015年发生的大范围邮箱帐户数据被泄露的重大事故给所有的企业信息管理部门敲响了警钟,企业邮件系统中包含着几乎所有的企业重要经营数据,并且由于企业邮件服务器是对外部互联网开放的特殊性,它的安全性能攸关重要。
企业邮件系统受到的攻击主要可以分为以下三类:
◆病毒、蠕虫、特洛伊木马:这三种罪大恶极的恶意代码可以作为电子邮件附件诱使用户打开或运行,它们就可以破坏一台邮件服务器的数据,将计算机变成可被远程控制的网络僵尸,甚至可以导致收件人经济上的巨大损失。举个例子来说,有一种特洛伊木马称为键盘记录器,它可以秘密地记录系统活动,可以导致外部的恶意用户访问公司的银行账户、企业的内部网站及其它的私密资源。
◆网络钓鱼:钓鱼攻击可以利用社交网络工程窃取个人的信息和财务金融数据。这种攻击主要依赖“伪造”邮件将收件人指引到欺诈性站点,诱骗用户输入机密的金融数据,如信用卡号、账户名、口令等。钓鱼活动的诈骗者典型情况下通过假冒的身段来隐藏自己,这些身份是通过从银行、在线交易商、信用卡公司等窃取的。
◆垃圾邮件:垃圾邮件虽然不像病毒感染一样是一种明显的威胁,垃圾邮件可以极快地淹没用户的收件箱,这就使得用户难于查看合法的电子邮件。垃圾邮件问题已经相当严重,以至于用户会放弃某个由垃圾邮件摧毁的电子邮件账户。垃圾邮件还是钓鱼者和病毒制造者喜欢的传播媒介。
应该如何捍卫电子邮件安全呢,主要从邮件服务器的安全防范机制和电子邮件传输过程的安全保障两方面下手。
一、 邮件服务器安全模块
用户所有收到的邮件,都会经过邮件服务器。如果在用户收到病毒邮件、垃圾邮件或者受到其他网络攻击之前,把这些危险都拦截在邮件服务器的网关模块上,这样可以极大的提高电子邮件的安全。
目前,无论是企业邮箱(如阿里云邮、263邮局、搜狐等等)、免费邮箱(如163、腾讯、Gmail)或是自建邮件系统(TurboMail、exchange、MDmail等等),厂商在邮件系统上都会发费很多的精力在电子邮件安全这一块。不同的邮件系统,采用不同的安全技术,相应的,在防攻击、反垃圾、反病毒上,效果也有差别,TurboMail邮件系统投入了大量的开发力量在网络安全防范机制上,确保没有系统安全漏洞,安全性能非常高,没有发生过用户邮箱系统被侵入的情况。
在反垃圾邮件技术上,不外乎都是采用黑名单、灰名单、邮件来源分析、垃圾邮件内容分析等等技术。然而,随着各种网络病毒、攻击技术的发展,简单的RBL防垃圾、防病毒手段是不能保证电子邮件的安全的。近年来,邮件系统更多的倾向于发展智能化的反垃圾和反病毒系统。
TurboMail邮件系统内嵌ClamAV杀毒引擎、九层反垃圾邮件引擎,都是能够自动升级、自动更新病毒库和垃圾邮件规则库的,另外反垃圾邮件还有智能学习功能,管理员可以通过一批垃圾邮件和非垃圾邮件训练系统对垃圾邮件的识别率。内嵌反病毒反垃圾邮件模块,一方面可以提高效率,另外一方面,对于判定为垃圾邮件的邮件,TurboMail邮件系统自动投递到普通用户的垃圾邮件箱,同时存放到管理员的垃圾邮件列表,供管理员进一步处理。
其中,TurboMail邮件系统九层反垃圾邮件引擎,主要采用了以下技术:
第一层: 网络控制层
经验分析,发送垃圾邮件的服务器一般都会同时大批量的向某些域的多个帐号发送垃圾邮件,对于这些发送垃圾邮件方式,可通过设定一定网络访问频率控制进行有效的阻隔,TurboMail邮件系统提供了两种设置方式对付这种攻击,并可自动把发送垃圾邮件的IP归为垃圾IP(SpamIP)列表。
第二层:来源分析
根据垃圾邮件发送者IP的地理位置,与 APNIC 的IP信息库核对结果,看来源是否真实,如果真实则通过,否则可能为可疑邮件,由于IP 来源无法伪装,所以这个反垃圾策略比较有效。
第三层: 黑名单
通过黑名单, TurboMail邮件系统设置屏蔽任何一个IP,一个网段;也可以屏蔽任何一个发信人,一个域。
第四层: 灰名单
灰名单技术源于:http://www.greylisting.org/ 。
灰名单技术其基本假设是:病毒和垃圾邮件,通常都是一次性的,如果遇到错误,不会重试。
一些发垃圾邮件的软件,这些软件基本上都不会对邮件服务器返回的错误做出任何重试,而只是简单的在日志里记录发送失败而已。而病毒引发的邮件风暴则更加不会识别邮件服务器返回的错误,因为这些病毒仅仅是简单的发送邮件,发送时根本不理会服务器的状态。
greylist的设计大体上是基于一种重试的原则,即第一次看到某个IP要想给某个收件人发信,那么它将简单的返回一个临时错误(4xx),并拒绝此请求,正常的邮件服务器都会在一段时间内(如半小时)重发一次邮件。greylist发现还是刚才同样的ip地址和收件人,认为此ip是来自合法服务器的,予以放行。如果是非正常的邮件,那么或者将永远也不再进行重试,或者会疯狂重试,但由于间隔太近,而遭拒绝。因此,greylist只要设置一个合适的放行间隔,就可以在很大程度上对这类垃圾邮件有着良好的免疫能力。greylist的一大特点就是不会丢信,正规的邮件服务器认为4xx错误只是临时性、软性的错误,会 隔一段时间重试,因此邮件还是可以投递成功。但greylist的一大缺点即使延迟(delay),延迟从几分钟到几个小时不等。对于一些对邮件及时性很强的客户,greylist可能不是一个很好的选择。
第五层: 趋势分析
趋势分析原理为,所有垃圾邮件都有目标指向,比如:卖药广告邮件都会在邮件内容里指定卖药的电话、邮件或网站,如果不指定这些信息,发送垃圾邮件也就没有意义了。趋势分析法就是通过分析邮件里的电话、邮件或网站链接内容,通过匹配判断他的指向从而判断邮件是否是垃圾邮件。
第六层: 邮件来源判断
主要通过分析邮件的来源,如:发件人ip ,发件人,发件域,等内容,来判断垃圾邮件的可能行。
第七层: SpamFilter内容过滤
通过邮件内容关键字分析,可为符合内容分析结果的邮件打上相应的垃圾邮件评分。这类规则的判断条件类似系统的过滤规则。可参考过滤规则设定来设定过滤评分内容,同时我们也会通过收集客户反馈的垃圾邮件特点整理成规则内容,定期通知客户更新。
第八层: SpamAssassin引擎
SpamAssassin 是一个由Apache 开发的一个著名的反垃圾引擎,turbomail邮件系统完整的集成了SpamAssassin反垃圾引擎。
第九层:TMSpamCheck反垃圾技术
拓波在原本8层反垃圾引擎的基础上,为了进一步提高反垃圾效率,引进了TMSpamCheck反垃圾技术。
九层的反垃圾引擎,有效的拦截了垃圾邮件。目前,经测试,该引擎反垃圾效果达到了98%,结合TurboMail邮件系统的反病毒引擎,能够有效的保证电子邮件的安全,把危险因素都扼杀在邮件服务器上,保证了用户的邮件安全。
二、 电子邮件消息传输中的安全。
除了在邮件服务器上保证邮件的安全,在邮件消息传输的过程中,如不小心,黑客可以对邮件消息进行窃取、更改、攻击等等安全性也极其重要。有效的保护手段就是采取加密,即将外发的消息变为一种非授权的人员不可阅读的形式。
TurboMail邮件系统基于先进PKI-CA的安全机制,采用标准的SMTP/SSL、POP3/SSL、S/MIME协议, 满足企业、军队、企业、个人在Internet上安全收发电子邮件的需求,保证信息传递的安全。TurboMail邮件系统的加密安全性能特点:
ü 数据加密功能
对邮件进行高强度的加密和解密以实现数据的保密
ü 抗抵赖功能
邮件的数字签名(鉴别)实现发件人认证和不可抵赖 返回带数字签名的回执实现收件人不可抵赖
ü 防篡改功能
完整性校验功能防止信息传输过程中被篡改
ü 访问控制功能
通过安全邮件代理和证书来实现对用户强身份认证,给用户划分不同权限规则检验功能。通过安全邮件代理对邮件进行过滤。
ü 日志和审计功能
通过分级日志系统来记录系统日志,并进行审计。
ü 证书管理功能
提供用户管理、更新联系人和证书功能
用RSA密钥算法,支持标准PKI-CA系统
支持国密办批准认可的加密算法
ü 支持多种硬件密码平台
采用公开密钥和对称密钥相结合的密钥体系
根据企业邮件在各个环节可能产生的攻击,TurboMail邮件系统相应的不断更新安全防范机制以应对不断发展的黑客技术,安全性能是企业邮件系统的首要考虑要素,安全强固的TurboMail邮件系统已成为企业邮件系统的首选品牌。
本文来源:不详 作者:佚名