首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件服务器

技术前沿 | Qmail | IMail | MDaemon | Exchange | Domino | 其它 | Foxmail | James | Kerio | JavaMail | WinMail | Sendmail | Postfix | Winwebmail | Merak | CMailServer | 邮件与开发 | 金笛 |
首页 > 邮件服务器 > Exchange Server > Microsoft IT 如何防御垃圾邮件、病毒和电子邮件攻击 > 正文

Microsoft IT 如何防御垃圾邮件、病毒和电子邮件攻击

出处:Microsoft 作者:Microsoft 时间:2006-9-28 14:23:00
本页内容
执行摘要执行摘要
简介简介
反垃圾邮件和防网页仿冒反垃圾邮件和防网页仿冒
防病毒防病毒
其他的消息传递安全机制技术其他的消息传递安全机制技术
最佳实践最佳实践
结束语结束语

执行摘要

Internet 上无用的电子邮件(垃圾邮件)、病毒、网页仿冒和恶意软件的泛滥对任何一个公司来说都是一个严重的问题,Microsoft 也不例外。这一问题在过去几年中愈演愈烈,以至于现在每个连接到 Internet 的企业都必须采取预防措施来防范这种攻击。这些威胁不再局限于电子邮件消息本身,还包括其他与电子邮件相关的威胁,如简单邮件传输协议 (SMTP) 层的拒绝服务 (DoS) 攻击,有目标的邮件炸弹(通过发送大量电子邮件使消息传递系统瘫痪)和目录搜集攻击(尝试搜集大量有效的电子邮件地址)。

1998 年之前,几乎没有用于防御垃圾邮件、病毒和其他电子邮件攻击的工具,因为这类问题根本不存在。而鉴于今天的 Internet 环境,Microsoft 信息技术 (Microsoft IT) 小组认为必须采用多种机制来防御这些威胁,而不能只使用一种机制。这种方法包括结合使用 Microsoft 产品、第三方黑名单和 Sybari 病毒扫描软件,它们部署在消息传递环境中的多个层次(从网关到客户端)。Microsoft IT 将其所有针对这些威胁以及类似威胁的防御机制统称为“消息传递安全机制”。

自 1998 年起,Microsoft IT 已在其 Microsoft® Exchange 基础结构中使用了多种消息传递安全机制功能。对防病毒和反垃圾邮件系统体系结构的最新改进使得 Microsoft IT 能够使近 50% 的需要在环境中执行反垃圾邮件功能的服务器得以巩固。除了体系结构的更改之外,Microsoft IT 还同时加强了 Internet 邮件网关层和客户端层的防御能力。这样,Microsoft IT 既可以降低运营成本,又可以加强防范恶意电子邮件和无用电子邮件的力度。

Microsoft IT 已经使用了 Microsoft Exchange Server 2003(Microsoft 的服务器消息传递产品)的消息传递安全机制功能来加强以前由第三方电子邮件扫描软件提供的防病毒和反垃圾邮件功能。Microsoft IT 已经部署的此类功能包括:

使用第三方的已知垃圾邮件发件人实时黑名单的连接筛选

发件人和收件人筛选以及收件人查找

Exchange 智能消息筛选器 - 基于内容的垃圾邮件筛选软件

此后,Microsoft IT 又将其消息传递基础结构升级为 Exchange Server 2003 Service Pack 2 (SP2)。Microsoft IT 使用 Microsoft Exchange Server 2003 SP2 来提供更强大的垃圾邮件防御力度,进而使消息传递环境安全而又可靠。这些改进包括:

更新并集成的智能消息筛选器

发件人 ID 电子邮件身份验证协议

具有网页仿冒筛选软件的改进型智能消息筛选器

撰写本文时,从 Internet 提交到 Microsoft IT 电子邮件网关的消息量平均在 1000 万次和 1200 万次之间。使用这种多层方法来筛选电子邮件,就意味着可以通过多种机制分析传入的电子邮件,其中的每种机制都最终减少了允许通过的垃圾邮件的数量。下列筛选阶段说明了截至撰写本文时 Microsoft IT 中的电子邮件筛选层的效果。这些百分比数字均基于每天的平均量。

1.

连接筛选可阻止约 80% 传入的 SMTP 消息。这些连接来自第三方实时黑名单中所列的已知垃圾邮件源。

2.

发件人和收件人筛选可删除 70% 在连接筛选之后收到的消息。

3.

在连接筛选之后,发件人筛选和收件人筛选会将近 95% 的垃圾邮件删除。智能消息筛选器会将其余 6% 的垃圾邮件拒绝掉。

经过上述筛选阶段后,其余的电子邮件会经过病毒扫描。通过此阶段的电子邮件被传递给邮箱服务器,供用户访问。电子邮件客户端也会运行筛选软件,进一步减少到达用户处的垃圾邮件数。一般情况下,在经过所有筛选层后,每天只剩下约 5% 的传入 Internet 电子邮件,如图 1 所示。

图 1

图 1:对传入 Internet 电子邮件进行垃圾邮件筛选的效果

在过去遭受的垃圾邮件或病毒攻击中,Microsoft IT 发现每天电子邮件的数量是原来的两倍、三倍甚至是四倍,不过 Microsoft IT 目前的防御层仍然很好地保护着消息传递环境,一直未让用户受到这些攻击的任何影响。

每天,Microsoft IT 小组都会收到一些关于消息传递基础结构中的垃圾邮件、病毒、网页仿冒和电子邮件攻击防范方法的询问。本文深入分析了在防范这种日趋严重的问题的过程中所需要的策略、措施和面临的挑战。还重点讨论了 Microsoft IT 在使用 Exchange Server 2003 和 Exchange Server 2003 SP2 的功能(包括智能消息筛选器和 Sender ID)来筛选掉无用电子邮件并删除网页仿冒方面的经验。

本文面向那些目前在分布式环境中正在运行或正在考虑升级到 Exchange Server 2003 或 Exchange Server 2003 SP2 并希望在他们的企业消息传递基础结构中控制垃圾邮件和恶意电子邮件流的 Microsoft 客户。具体来说,本文的目标读者包括:企业、业务和技术决策者;IT 架构师;负责管理基础结构中的 Internet 电子邮件流的操作管理员。虽然本文中讨论的大多数概念主要是关于 Exchange Server 2003 SP2 的技术,但某些信息也适用于运行旧版本 Exchange 的环境。

注意: 有关 Exchange Server 2003 SP2 的反垃圾邮件功能的详细信息,请参阅 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/e2k3/e2k3/ast_anti_spam.asp

 

简介

对于任何连接到 Internet 或使用电子邮件的人,垃圾邮件、网页仿冒和恶意代码(包括病毒、蠕虫、特洛伊木马、宏、脚本和未经授权的 ActiveX® 控件)的泛滥成了一个日益严重的问题。目前,从域级的个人身份被盗用到对组织、公司和政府办公部门的恶意联合攻击,没有一个用户可以免受与电子邮件相关的安全威胁。

与许多大公司一样,Microsoft 是安全威胁的目标。因此,Microsoft IT 时刻警惕着保护其资源(从数据中心到台式计算机)的安全。Microsoft IT 正在通过不断修订其防御垃圾邮件、病毒和其他电子邮件攻击的策略、实现和过程来提前应对这一问题。

垃圾邮件、网页仿冒、域盗用、病毒和电子邮件攻击对企业影响是非常大的。它会给那些对这些威胁毫无准备的公司带来毁灭性的破坏。垃圾邮件不仅令人讨厌,而且会增加公司的成本 — 这既包括财务方面的成本,又包括处理时间、带宽占用、管理和资源消耗方面的成本。同样,病毒和其他电子邮件攻击轻者会造成停机,重者会对公司的重要资源和知识产权造成威胁。

Microsoft 网络和消息传递基础结构概述

要了解 Microsoft IT 的消息传递安全机制策略的演进过程,了解 Microsoft 网络和基础消息传递基础结构的大小和范围会很有用。

Microsoft 公司网络是世界上最大的计算机网络之一。该网络由全世界的许多区域子网络组成,包括:

三个企业数据中心。

全世界的十九个区域数据中心。

77 国家约 230 个城市中的 300 多个站点。

3,300 多个 IP 子网。

2,000 多个路由器。

世界各地 10,000 多台服务器。

350,000 多个局域网 (LAN) 端口。

有一个复杂的消息传递环境在利用着这个巨大的网络基础结构;这个环境由全世界分布于 7 个位置的 80 台 Exchange Server 2003 SP2 服务器组成。在这些 Exchange 服务器中,其中有 36 台是运行 Microsoft Windows Server™ 2003 的邮箱服务器。除了几种特殊情况外,这些邮箱服务器均采用群集配置。

管理这样一个消息传递基础结构是一项艰巨的任务。这个基础结构为约 92,000 名员工支持着 116,000 个邮箱,每个邮箱至少都有 200 兆字节 (MB) 的存储空间。平均每天全球电子邮件的总流量超过 1100 万封;其中有 300 万是内部电子邮件。每天,从 Internet 传入的电子邮件中约有 95% 被作为垃圾邮件、病毒感染的电子邮件或发送给无效地址的电子邮件筛选掉。

Microsoft IT 保护其消息传递环境的措施正在不断改进。最明显的原因在于,Internet 上的垃圾邮件和病毒量在飞速增长,而与电子邮件相关的威胁的特征也在不断变化。在应对这一问题时,所有公司必须不断提高警惕性和灵活性,为此做出积极的响应。Microsoft IT 认为采用多层的消息传递安全机制是必要的。单凭一种方法,无论多么完美,也不足以应付与 Internet 电子邮件相关的形形色色的风险。通过采用多种方法在网络的多个位置筛选垃圾邮件和病毒,可以提供多层次的保护,这对构建纵深防御机制是至关重要的。

Microsoft IT 不断改进消息传递安全机制方法的另一个原因在于其生产环境的自身特点。Microsoft IT 在生产中经常使用尚未发行的 Microsoft 测试版软件。这样有助于 Microsoft IT 在开发的初期阶段为产品小组提供宝贵的反馈信息,从而提高到达客户手中的发行产品的质量。Microsoft IT 在将“智能消息筛选器”提供给客户之前先将其用于生产中就属于这种情况。

注意: 有关“智能消息筛选器”的详细信息,请参阅 http://www.microsoft.com/exchange/imf

Microsoft IT 这种使用未发布软件的方式,给其采用的策略、使用的第三方软件解决方案、以及服务器自身的管理带来了独特的难题,但这些难题并非无法解决。

先前的消息传递安全机制基础结构

从 1999 年到 2004 年 6 月,Microsoft 在其 Internet 电子邮件和消息传递安全机制体系结构中使用了一种包含三个阶段的方法。这个拓扑基于三个服务器集,这些服务器集互相连接在一起来提供反垃圾邮件、防病毒、内容筛选和 Internet 电子邮件路由功能。所有传入的 Internet 电子邮件消息都先通过此服务器集,然后再路由到 Exchange 邮箱服务器,如图 2 所示。

图 2

图 2:2004 年 7 月之前的 Microsoft 消息传递基础结构

就在 2004 年 7 月之前,服务器的第一层由 Exchange Server 2003 网关组成,位于网络最外层。在第一层,“智能消息筛选器”和第三方防垃圾邮件解决方案与发件人筛选和收件人筛选一起来拦截 Internet 传入消息中的垃圾邮件。第一层将未被判定为垃圾邮件的所有消息转发给专用于电子邮件病毒扫描的下一层 SMTP 服务器。扫描病毒后,第二层将所有无病毒的消息传递给第三层服务器(配置为 SMTP 路由服务器的 Exchange 服务器),这一层用来在内部转发消息。然后,第三层将这些消息传送给 Exchange 邮箱服务器,电子邮件客户端可以在这里访问消息。

此体系结构准备就绪后,Microsoft IT 评估了一些第三方反垃圾邮件和防病毒供应商并选择了符合其要求的解决方案(最初在 Microsoft Exchange 2000 Server 和 Microsoft Windows® 2000 Server 上运行)。虽然此体系结构在过去的几年内有效地防御了 Internet 电子邮件的威胁,但威胁的不断演进及 Exchange Server 平台的改进促使 Microsoft IT 不断修改其体系结构。Microsoft IT 的目标是:

通过将病毒扫描集成到 Exchange Server 2003 网关平台来降低环境的总拥有成本 (TCO)。

建立 Internet 电子邮件传输的同质性,从消息路由中消除第三方 SMTP 服务器。

将解决方案与 Exchange Server 2003 SP2 的其他功能(如垃圾邮件嫌疑度 (SCL))相集成。

简化 Microsoft IT Internet 电子邮件路由拓扑。

建立基于 Exchange Server 2003 SP2 的可伸缩网关平台,以提供集成的消息传递安全机制功能。

当前的消息传递安全机制基础结构

目前,Microsoft IT 通过其当前用于 Internet 电子邮件和电子邮件扫描的基础结构,实现了消息传递安全机制方面的目标,如图 3 所示。通过选择 Exchange Server 2003 SP2 作为网关层防病毒功能的平台(后来升级为 Exchange Server 2003 SP2),Microsoft IT 去除专用的病毒扫描服务器集,从而立即降低了 TCO。通过使用 Exchange Server 2003 SP2 平台,Microsoft IT 选择了一个新的第三方防病毒解决方案,它采用了集成方法并使用了 Exchange 的本机 SMTP 堆栈。

图 3

图 3. 2004 年 7 月之后 Microsoft IT 的消息传递基础结构

Exchange Server 2003 SP2 通过下列增强功能加强了垃圾邮件的防御能力:

更新和集成的智能消息筛选器

支持发件人 ID 电子邮件身份验证协议

增强的反垃圾邮件内容筛选,现在包括防网页仿冒筛选

与先前消息传递安全机制系统的配置相比,Microsoft IT 当前采用的设计和方法使用了 Exchange 的更多现成功能。目前,除了“智能消息筛选器”外,所有传入的电子邮件消息都要受以下 Exchange Server 2003 SP2 软件提供的额外安全控制措施的制约:

连接筛选和实时第三方黑名单

发件人和收件人筛选,包括空白发件人筛选

收件人查找

发件人 ID 查找

禁止发件人显示名称解析

两周更新一次“智能消息筛选器”反垃圾邮件和防网页仿冒试探法

与传统垃圾邮件筛选软件相比,这些控制提供了更多的保护。Microsoft IT 在 Exchange 网关服务器的最外层实现这些控制措施,以最大限度地在这里消除恶意消息。其余消息被转发给 Exchange Server 2003 SP2 SMTP 路由服务器进行病毒扫描,再传递给邮箱服务器。

除了加强反垃圾邮件和防病毒保护外,Microsoft IT 目前的网关配置还为 Internet 电子邮件提供了更好的负载平衡和更高的可用性。通过消除对第三方 SMTP 服务器的依赖性,代之以在整个网关基础结构中使用 Exchange Server 2003 SP2 本地传输功能,Microsoft IT 已在其 Exchange Server 2003 SP2 网关服务器和其 Exchange Server 2003 SP2 SMTP 路由服务器之间建立了网状拓扑。为了防范网络层和环境灾难,Microsoft IT 将 Internet 网关和消息传递安全机制基础结构分布于多个数据中心。这样可以防止单点故障,建立可路由和扫描 Internet 电子邮件的多个物理和逻辑路径。

 

反垃圾邮件和防网页仿冒

筛选并删除来自 Internet 的垃圾邮件和网页仿冒电子邮件是 Microsoft IT 消息传递基础结构的一项重要功能。因为以 Microsoft 电子邮件域为攻击目标的垃圾邮件在传入消息总量中占有很大比重(约 95%),Microsoft IT 已经选择在其网络最外层(Exchange Server 2003 SP2 网关服务器上)实现垃圾邮件筛选解决方案。通过在尽可能靠近网络边界的地方拦截无用的消息,可以消除通过内部系统处理和传输这些消息的开销,将带宽消耗和处理时间降到最低。

Microsoft IT 采用多种方法筛选垃圾邮件,其中包括“智能消息筛选器”。

智能消息筛选器

传入的 Internet 电子邮件必须通过的第一个筛选器是“智能消息筛选器”,它运行于消息传递环境最外层的 Exchange Server 2003 SP2 网关服务器上。Microsoft 研究小组最初开发智能消息筛选器中的 Smartscreen 技术是为了让 Microsoft Hotmail® 使用,Microsoft Hotmail 的垃圾邮件当时已是客户投诉的热点。“智能消息筛选器”采用内置于 Exchange Server 2003 SP2 中的 SCL、PCS 和发件人 ID 框架。“Internet 消息筛选器”将某些特定消息部分进行分类,执行基于试探法的消息分析并为各个被扫描的消息分配一个 SCL 等级。SCL 等级的范围为从 0 到 9。消息的等级越高,就越可能是垃圾邮件。

Exchange Server 2003 SP2 将最新的数据和更新合并到“智能消息筛选器”中。对于 IMF 和双周更新的改进,使工作重点始终保持在识别垃圾邮件和减少误报上。这些改进包括新的反垃圾邮件功能,其中包括拦截网页仿冒方案。网页仿冒方案试图通过伪装成合法的 Web 站点以欺骗的手段骗取敏感的个人信息。

Exchange Server 2003 SP2 环境可配置为对 SCL 等级超过管理员所配置阈值的消息执行筛选操作。“智能消息筛选器”使用 Exchange Server 2003 SP2 中设置的两个阈值,即网关阈值和存储阈值。

设置网关阈值

网关阈值由两部分组成:

要执行的操作

触发所配置的操作的 SCL 等级

例如,如果网关阈值设置为 8,那么任何 SCL 等级等于或大于 8 的消息都将执行所配置的筛选操作。可能的操作包括:

删除。删除消息且不存档。

拒绝。最初接收整个消息,但如果消息被判定为垃圾邮件,则向发件人发送拒绝通知。

存档。删除消息,但在服务器上保留备份供以后查看。

无操作。对消息不执行任何操作。消息及其 SCL 值将被照常路由。

注意: 所有传入的电子邮件消息先遇到网关阈值,再遇到存储阈值。

删除操作、拒绝操作和存档操作都有其各自固有的优缺点。如果组织决定删除或拒绝 SCL 等级达到或超过某个数值的消息时,这些消息就不会再往前传输了。删除的优势在于消息不写入磁盘,不用进行病毒扫描或在系统内发送,因而不需要花费宝贵的处理时间。但是,删除被视为一种大胆的操作,因为消息从邮件流中被永久删除了,不可能恢复。如果给定阈值的误报(合法邮件被误判为垃圾邮件)数量很少,则删除操作会很有效。

与删除类似,拒绝操作也会从邮件流中删除被判别为垃圾邮件的消息。然而,与删除不同的是,拒绝操作以 SMTP 错误(不可传送)消息的形式为发件人提供状态指示。出于安全原因,某些环境可能不希望向垃圾邮件的发件人发送筛选操作通知。

Exchange Server 2003 SP2 对“智能消息筛选器”进行了下列改进:

管理员可以为“智能消息筛选器”拒绝操作指定自定义的错误文本。

管理员可以使用自定义的消息加权(也称坏字列表),来自定义筛选器,以筛出含特定字词或短语的消息,并根据需要进行调整,以对特定消息内容进行操作。自定义消息加权基于文件实现,不支持用户界面。在文件内,可以添加特定字词和短语,及其相对的文本部分位置(主题或正文)和其相关的修饰语。

组织可以使用存档操作来检查被作为垃圾邮件页拦截的电子邮件并根据误报数量帮助确定要设置的适当 SCL 网关阈值。但是,由于没有适当的工具来检查存档内容和评估误报,因此对于日常操作来说,存档操作的优势被削弱了。通常,最可靠的工具就是人的眼睛,用眼睛实际检查消息的内容。由于每天都有数十万或数百万电子邮件,靠肉眼实际检查每个存档消息是很不现实的。一种替代方法是使用自定义的自动过程,按主题行或其他消息属性对数据进行分类汇总,然后从数千个消息中抽取一个样本进行查看。管理员可以编写用来分类汇总这些数据的基本脚本,以简化这一过程。

因为用于存档消息的磁盘空间与环境所接收的电子邮件通信量和垃圾邮件率成正比,因此,拥有大量电子邮件的组织如果计划使用存档操作,就必须认真规划其垃圾邮件筛选网关所需的存储空间。鉴于 Microsoft 消息传递环境每天从 Internet 接收的电子邮件量,Microsoft IT 目前使用网关阈值的删除操作。但 Microsoft IT 在对智能邮件筛选器进行早期测试期间使用的是存档操作。

设置存储阈值

存储阈值决定着 SCL 等级,当到达邮箱服务器的电子邮件达到此等级,就会被移动到用户邮箱的垃圾邮件文件夹中。设置的存储阈值必须低于网关阈值,才能执行存储路由。例如,如果网关阈值设置为 8,则存储阈值必须设置为 6 才能执行操作。存储设置会对大于存储设置值的 SCL 值执行操作。此行为不同于网关设置,网关设置是在 SCL 值大于或等于 SCL 设置值的情况下执行操作。例如,如果一个接收到的 SCL 等级为 5 的传入消息通过了网关阈值但超过了存储阈值,则将被自动路由到用户的“垃圾邮件”文件夹。等级为 4 或更低的传入消息将直接发送到收件人的收件箱,因为它同时通过了两个阈值。

平衡阈值

网关阈值和存储阈值之间最为有效的平衡完全取决于组织的消息传递环境网关。我们的目标就是在最大程度降低误报量的同时,尽早在基础结构中最大可能的阻止垃圾邮件的数量。根据特定环境,每个管理员将对“智能消息筛选器”设置进行不同的调整。

设置高网关阈值的缺点是,有较多的邮件必须在基础结构中传输,用户最终将在桌面层处理它们。此缺点增加了基础结构多个方面的成本,包括存储、带宽和管理。

对于删除合法的电子邮件,Microsoft IT 始终坚持近似零的容差等级。Microsoft IT 使用保守的网关阈值来维护较低的误报率。一般情况下,最好的误报指示器是用户投诉。通常,组织最好在开始时保守地将智能邮件筛选器阈值设置为较高的数值,然后根据需要下调。“智能消息筛选器”提供了详尽的性能计数器列表,管理员可用以检查传入的消息群的 SCL 等级分布情况,从而可以更好地决定如何根据特定环境调整阈值。

其他反垃圾邮件防御措施

多年前,当垃圾邮件最初给电子邮件用户带来问题时,Microsoft IT 与很多公司一样完全依靠第三方企业级反垃圾邮件软件解决方案。现在,Microsoft IT 在生产环境中使用“智能消息筛选器”。“智能消息筛选器”在 Internet 网关处提供了垃圾邮件防御层。

由于新的防病毒和反垃圾邮件体系结构的发展,以及“智能消息筛选器”、连接筛选、实时黑名单、发件人筛选、发件人 ID 查找、收件人查找和附件拦截的采用,Microsoft IT 已经能够大大减少其 Internet 电子邮件中的垃圾邮件量。

发件人 ID 框架

发件人 ID 是用来应对电子邮件域盗用(模拟)的行业标准框架。发件人 ID 方法根据发送服务器的 IP 地址来验证每条电子邮件消息的起源 Internet 域与其所声明的 Internet 域是否相符,从而去除所有来路不明的消息。通过消除域盗用,有助于保护合法发件人的域名和声望,也有助于收件人有效地识别和筛选垃圾电子邮件和网页仿冒欺骗。

实现发件人 ID 框架分为两个阶段:

第 1 阶段通过发布与 Internet 主机通信的 SMTP 网关服务器的发件人 ID 记录来帮助防止企业域名(及声望)被盗用和身份伪造。这有助于保护公司域(及声望)不受盗用和身份伪造的侵害。

第 2 阶段要实现“声称的负责地址”(PRA) 和邮件来源检查,在从 Internet 主机提交传入的电子邮件时执行发件人 ID 检查,以验证传入电子邮件的合法性。这样,电子邮件的收件人就可以验证发送端 SMTP 域的可靠性。

Microsoft IT 已经开始实现发件人 ID 框架,他们在其运行 Exchange Server 2003 SP2 的域名系统 (DNS) 网关服务器中创建并发布了发件人 ID 框架记录。此服务器可以配置为对传入电子邮件执行发件人 ID 查找。如果发件人 ID 查找失败,可以执行如下操作:

删除。此操作没有提示 – 不会生成未送达报告 (NDR)。

拒绝。邮件在协议层遭到拒绝。

接受。使用发件人 ID 验证结果标记邮件项,以供智能消息筛选器使用。

第一种和第二种操作会删除或拒绝未能通过发件人 ID 验证的邮件(例如,非常明显的盗用)。而其余的邮件项会被标以发件人 ID 状态,并继续传递。最后的操作是将发件人 ID 状态标记在邮件项上(即使是盗用)。会将此状态传送到智能消息筛选器并触发相应的 SCL 分数修改。

注意: 有关实现发送端 ID 框架的详细信息,请参阅 http://www.microsoft.com/senderid。

客户端层垃圾邮件筛选

理想状态下,垃圾邮件决不会到达客户端层。而实际上,一些垃圾邮件确实可以通过 Microsoft 网络到达用户的台式计算机。其中的一个主要原因就是某些合法的电子邮件消息(如新闻稿)通常带有垃圾邮件的特征,因此将筛选阈值设置得过低以致所有可疑消息都被删除的做法并不明智。此外,用户可能有某些无法通过一组企业级设置就能满足的个人偏好。

因为 Microsoft IT 使用的严格性适中的阈值允许某些具有类似垃圾邮件特征的消息最终到达台式计算机,所以 Microsoft IT 在客户端层提供了一个额外的防御层。通过在客户端桌面部署 Smartscreen 反垃圾邮件和防网页仿冒技术,Microsoft Office Outlook® 2003 和 Outlook Web Access 2003 的用户还可以建立安全发件人列表和发件人黑名单。安全发件人列表包含受信任的电子邮件地址以及域名,对于从这些地址和域发来的邮件,用户总是希望接收。与之相反,发件人黑名单包含那些用户从不希望从其接收邮件的地址和域名。

Exchange Server 2003 SP2 会将来自受信任的发件人的所有消息传送到用户收件箱中,而将来自黑名单中发件人的所有消息传送到用户的垃圾邮件文件夹。无论先前分配给消息的 SCL 等级如何,都会按这一规则执行操作。因此,Outlook 2003 和 Outlook Web Access 2003 的用户可根据其各自的偏好忽略他们邮箱的存储层垃圾邮件筛选。但用户不能忽略客户端层的网关层筛选操作。如果消息超出了网关阈值,无论客户端层如何设置,它都不会被传送到用户的收件箱。

用户还可自定义 Outlook 2003 垃圾邮件筛选器的操作,当消息到达客户端时,该筛选器会对它们进行分析并确定是否将其视为垃圾邮件。用户可以选择他们所需的保护级别:最低级别为无保护,最高级别为只接收安全发件人的邮件。垃圾邮件筛选器捕获的消息会直接移动到用户的垃圾邮件文件夹,在那里,用户可以查看消息,也可以将它们删除。

Outlook 2003 可以应对称为 Web 信标的另一种恶意作法,这种方法用来确定和收集有效的电子邮件地址。例如,发件人可能在发给不知情的收件人的电子邮件消息中加入特殊编码图像。图像会在显示时将收件人的有效电子邮件地址通知给发件人。Outlook 2003 不再自动显示图像,因此其用户可免受 Web 信标攻击。

 

防病毒

垃圾邮件令人厌烦,它给消息传递环境带来了性能和工作效率问题,而恶意软件(如病毒、蠕虫和特洛伊木马)给所有公司带来的安全威胁都远大于此。一次病毒攻击就足以造成严重的影响,轻者会导致停机进行病毒清理,重者更会削弱基础结构,危及或毁坏敏感数据。

组织在解决电子邮件病毒问题之前,可以首先从消息传递环境中消除垃圾邮件,这样会大大减少病毒筛选所需的开销。每一天,Microsoft IT 通常都会处理从 Internet 接收的超过 1200 万封电子邮件。这些消息中有 95 % 以上被判定为垃圾邮件而从邮件流中消除了,因此在网关层扫描病毒之前筛选出垃圾邮件,这样可以极大地缩短处理周期,节约带宽和消息存储空间。

体系结构

在大多数消息传递拓扑结构中,病毒防御措施可以在多个位置使用。在实施多层消息传递安全机制的同时,Microsoft IT 认为最好在网络环境的多个层次采用防病毒措施。这样做虽然增加了性能开销,但最大程度降低了风险。Microsoft IT 认为在性能和风险之间可以找到一个平衡点。每个组织都必须根据其特定环境决定在哪个层的哪些点上采用防病毒措施。

传统上,组织可以在消息传递环境的以下三个层部署防病毒解决方案:

网关

邮箱服务器

客户端

根据纵深防御理念,Microsoft IT 选择将其电子邮件防病毒系统集中到 SMTP 网关层和客户端层,如图 4 所示。电子邮件路由方面的 Internet 电子邮件拓扑结构设计及具体优化帮助确保了外部消息传递系统和 Microsoft IT 的托管环境之间交换的任何消息都无法绕过已建立的防病毒控制措施。

图 4

图 4. Microsoft IT 消息传递基础结构中的防病毒保护点

从 Internet 接收的消息首先进行垃圾邮件扫描,然后被转发到基于 Exchange Server 2003 的 SMTP 路由服务器,在那里,所有电子邮件都要进行病毒扫描,然后才能传送到邮箱服务器。尽管有网关层防病毒保护,Microsoft IT 还一直在通过在用户台式计算机的客户端层建立防病毒保护来加强多层防御机制。Microsoft IT 托管环境中的所有客户端计算机都需要安装、配置、运行第三方防病毒软件,并保持更新。通过技术控制和策略不断加强客户端层的防病毒防御措施还使得 Microsoft IT 能够抵御消息传递领域外攻击媒介所带来的与病毒相关的威胁。例如,用户台式计算机上的防病毒软件可帮助防止通过网络连接传播的文件级感染和病毒。

为了减少 Microsoft IT 托管环境外部的意外病毒传播和最大限度地降低责任风险,对传出电子邮件也要进行防病毒检查,首先在客户端层进行检查,然后在 SMTP 网关层进行检查。

Microsoft 的客户经常向 Microsoft IT 询问:为什么不通过在日常操作中在 Exchange Server 邮箱服务器上运行第三方软件来把防病毒措施的重点放在存储层?由于 Microsoft IT 通过在其生产中使用 Microsoft 测试版软件来对其进行测试,因此这些服务器会不断地变化,例如不断地安装 Exchange Server 软件预发行版。为了确保测试期间出现的任何可能的兼容性问题不会危及消息传递基础结构中的防病毒保护措施,Microsoft IT 目前将其电子邮件防病毒控制集中在客户端和网关层。其他环境应评估其各自对防病毒措施的独特要求,选择不同的层来实施保护。但是,无论组织选用哪种解决方案,采用多层纵深防御方法的安全级别始终比单层方法更有效。

除了在网关层和客户端层进行预防性扫描外,在病毒暴发时,Microsoft IT 还可以在 Exchange Server 2003 SP2 邮箱服务器上进行紧急防病毒安全控制和过程。

注意: 有关这些控制和过程的详细信息,请参阅 IT Showcase 白皮书 Incident Response:Managing Security at Microsoft(事件响应:Microsoft 管理安全性),网址为http://www.microsoft.com/technet/itsolutions/msit/security/msirsec.mspx

传入和传出电子邮件策略

Microsoft IT 对传入和传出电子邮件分别实施不同的扫描策略和过程。因为与传出电子邮件相比,从 Internet 传入的电子邮件的可信度更低,因此传入电子邮件策略的限制性更强。

病毒通知是 Microsoft IT 针对传入和传出电子邮件采取不同策略的一个示例。例如,如果从 Internet 传入的消息包含病毒,则感染将被删除,内部收件人会收到通知。通知消息中会提供必要的消息,来识别感染源和可能采取的更正措施。由于以下原因,无法自动通知感染的传入消息的外部发件人:

发件人的身份可能被盗用;因此,通知可能无法传送到消息的实际发送者。

由大量感染了病毒的电子邮件触发的通知可能会导致对地址被盗用的合法发件人拒绝服务。

通知可能会将防病毒系统的功能泄露给可能滥用此信息的外部用户。

传入电子邮件的限制性安全策略的另一个示例是附件剥离。附件剥离从传入的 Internet 邮件流中删除具有潜在危险的附件(例如可执行文件),并有助于降低恶意代码通过电子邮件进入环境的风险。本文档稍后部分将介绍附件剥离的详细信息。

因为与传入电子邮件相比,传出电子邮件的信任度更高,因此 Microsoft IT 的策略对传出电子邮件的限制较少。某些文件类型的附件通常不从传出消息中剥离。但是,如果在传出消息中检测到病毒感染,就会将感染删除并向内部用户发送通知,询问用户是否对其计算机进行病毒扫描。如果 Microsoft 雇员无意间发出了病毒,Microsoft IT 会通知该内部发件人,以便他或她确定感染源。

要针对传入和传出电子邮件实施不同的安全策略,电子邮件防病毒解决方案必须能够识别电子邮件的方向。该解决方案还必须能够根据权威性标准(例如 IP 地址或身份验证)确定被扫描的电子邮件的方向。否则,被盗用的电子邮件可能会干扰病毒扫描系统,使之应用错误的安全策略。

Exchange Server 2003 SP2 SMTP 路由服务器

Microsoft IT 在决定通过在网关层和客户端层使用多层方法实施病毒防御措施以后,下一步就是确定应使用哪一种技术解决方案。出于性能、互操作性和安全考虑,网关层病毒扫描解决方案的策略侧重于 Exchange Server 2003 SP2 网关平台,尤其是 Microsoft IT 的 Exchange SMTP 路由服务器。

对于将防病毒解决方案与 Exchange Server 2003 SP2 平台集成,Microsoft IT 有两种选择:

在传输层使用 Exchange Server 2003 SP2 病毒扫描应用程序编程接口 (VSAPI) 2.5 版本功能

使用 Exchange Server 2003 SP2 中提供的传输事件接收器模型

防病毒供应商可选择使用 VSAPI 2.5 或传输事件接收器来实现其解决方案。尽管这两种方法提供的特性和功能相似,但它们在最终产品中具有不同含意。例如,如果解决方案使用 VSAPI,它就可以利用 Exchange Server 2003 SP2 提供的消息分析和解码功能。因此,如果供应商不希望参与打开邮件并执行自己的邮件分析等细节问题,将更倾向于使用 VSAPI。如果供应商希望对邮件流进行更多、更精细地控制,就可能改为采用传输事件接收器方法。使用传输事件接收器时,假定防病毒解决方案执行其自身的消息分析、报告、性能监视和其他此类操作。

在选择最能满足其环境要求的防病毒软件供应商之前,Microsoft IT 进行了一次广泛的评估。客户根据他们不同的环境而提出各自不同的要求,这些要求可能与 Microsoft IT 的要求大相径庭。但是,某些评估方面可能在很多环境中都很相似。

Microsoft IT 选择了 Sybari Antigen for SMTP 作为其环境的病毒扫描解决方案,并决定使用多个病毒扫描引擎(执行消息分析和扫描的消息处理组件)来最大程度地检测和消除病毒感染。

以下是 Microsoft IT 在评估阶段所考虑的一些技术因素。

功能方面的因素包括:

对病毒和其他恶意软件的检测能力

对各种消息类型、编码和格式的支持

与 Exchange Server 2003 SP2 网关平台集成的能力,包括对多台 SMTP 虚拟服务器的支持

邮件方向认知;对传入、传出及内部邮件采用不同策略

文件筛选及附件拦截能力

容错性;故障恢复能力

对自定义防病毒操作和通知的支持

对多个病毒扫描引擎的支持

性能方面的因素包括:

解决方案的整体吞吐量

系统开销

常规负载和峰值负载期间的性能特征

可用性和支持方面的因素包括:

远程监控和管理

复杂性和管理开销

供应商的产品技术支援质量

与现有操作工具和进程的集成

附件剥离

作为防病毒策略的一部分,Microsoft IT 在传入电子邮件消息中根据附件文件的扩展名和类型会自动删除一些类型的附件。网关层防病毒软件会自动剥离某些文件类型的附件(例如 .exe、.cmd 和 .com),无论它们是否感染病毒。这些附件会提高病毒感染的风险,将它们在网络的最外层剥离有助于保护环境远离尚未开发或部署病毒签名的未知恶意软件或新恶意软件。如果将附件剥离,消息本身仍会被传送,内部收件人也会收到相应的通知。

Microsoft IT 认为将消息传送给收件人是很重要的,即使其附件已被删除。如果所剥离附件的内容是合法的,收件人可使用其他方法检索该信息,例如让发件人以不同格式重新包装数据或使用其他方法传输文件(如文件传输协议 (FTP))。

某些类型的恶意病毒感染(如蠕虫)可能会生成大量的电子邮件,这些邮件到达同一个电子邮件网关或 SMTP 路由服务器,传递给大量收件人。除了受感染的负载带来的威胁以外,这些消息的数量还经常导致电子邮件系统出现性能问题。对于此种电子邮件,依靠附件剥离或从邮件中删除病毒可以消除感染,但无法减轻其中的拒绝服务攻击。为有效抵御这些威胁,Microsoft IT 实现了将附件剥离与消息删除相集成的解决方案。当大量邮发的病毒引起消息感染时,系统会从邮件流中删除整个消息,因此将环境中的性能开销降至最低。

防病毒文件更新

基于签名的病毒防御措施不会比病毒定义文件(也称为签名文件或模式文件)的质量更有效。为防止新病毒的威胁,组织必须保持签名文件始终是最新的。另一个重要的注意事项是使用最新的扫描引擎。

Microsoft IT 使用拉取方法来下载最新的防病毒签名文件和扫描引擎。拉取机制使 Microsoft IT 能够针对此类下载建立灵活的自定义时间表,帮助保持所有电子邮件病毒扫描系统一致和最新。如果在自动下载之间的时间段内可以获得更新,Microsoft IT 还具备手动拉取下载的能力。这种能力为 Microsoft IT 提供了响应潜在紧急情况所需的灵活性。

管理问题

对于防病毒管理,Microsoft IT 认为拥有明确的策略并执行明确定义的、有秩序的过程是很重要的。Microsoft IT 尽可能地使过程和步骤自动化。例如,为确保防病毒软件最新且一直运行在所有服务器上,Microsoft IT 已自动化了部署在其网关上的防病毒签名文件和扫描引擎的版本验证过程。如果检测到偏差(例如特定服务器没有运行最新的签名文件),管理员就会收到有关该问题的警报。

除监视检测到的病毒数以外,监视每天电子邮件处理量的统计信息也是管理流程的重要组成部分。Microsoft IT 在某一天可能会检测到 20,000 种病毒,而在另一天则检测到 200,000 种病毒。这种趋势很难判断,因为 Microsoft IT 遇到的任何病毒攻击都会直接反映到统计信息中。尽管 Microsoft 经常成为攻击目标,但有时某种特定攻击给其他公司带来的消极影响比 Microsoft 还要大。影响的大小具体取决于攻击的目标域。使用基于每日统计信息的指标,管理员可追溯业界遭受该攻击的日期和时间,然后确定攻击在特定时间内的影响。

文件级病毒扫描与消息级病毒扫描

本文的重点是消息传递环境;因此有关病毒扫描的讨论主要集中在消息级。但值得注意的是,Microsoft IT 还在文件级 Exchange Server 2003 SP2 服务器执行病毒扫描。此扫描完全独立于消息级扫描,单靠这种扫描无法使消息传递环境免受以电子邮件为载体的病毒的侵扰。

文件级扫描对于将 Exchange 服务器本身作为基础结构元素来保护而言是关键的。如果操作系统级没有防病毒措施,常规的操作活动(如服务器维护、修补或故障排除)可能会导致服务器意外感染病毒,进而可能导致消息服务的可用性降低及数据丢失。

计划在 Exchange Server 2003 SP2 服务器上使用文件级防病毒软件的组织应采取一些额外的预防措施。因为文件级防病毒软件通常不了解特定于 Exchange 的数据(如 Exchange 数据库和日志文件)的内部结构,扫描此类内容常导致服务器故障,也可能导致数据损坏。文件级防病毒软件必须采用特别的配置来排除任何与 Exchange Server 相关的数据,如邮箱存储、事务日志、临时目录、消息队列及其他相关文件位置。对 Exchange 服务器的文件级软件配置不当是消息传递环境中常犯的错误。

注意:有关对 Exchange 使用防病毒工具的详细信息,请参考 Microsoft 知识库文章“与 Exchange Serve 2003 配合使用的防病毒软件概述”(网址为 http://support.microsoft.com/kb/823166和“Exchange 和防病毒软件”(网址为 http://support.microsoft.com/kb/328841)。

客户端层的防病毒措施

Microsoft IT 的多层防御方法要求在客户端层(无论是办公室中的台式计算机,还是远程使用的笔记本电脑)进行病毒扫描。除了运行 Outlook 2003 外,所有客户端系统还要运行防病毒软件来防范病毒侵袭。

eTrust 防病毒软件

Microsoft IT 对客户端层防病毒软件一直坚持严格的策略。要访问企业网络,所有 Microsoft 员工必须在客户端计算机(例如,台式计算机和笔记本电脑)上安装、配置 Computer Associates eTrust 防病毒软件并保持更新。如果用户当前在系统上运行着 eTrust 软件,该软件将实时扫描所有文件。它对用户是完全透明的,能够不间断地进行扫描,并能够在更新推出后检索更新。

Microsoft IT 使用登录脚本框架确保所有员工在客户端计算机上安装并运行 eTrust。当某个用户试图登录企业网络时,登录脚本将在系统上运行安全性检查,包括检查客户端层防病毒服务状态。Microsoft IT 还通过内部开发的工具和过程不间断地监视企业网络。在每天的固定时段,每一台连接到网络的计算机都要经过扫描,以检查修补级别是否符合要求以及 eTrust 防病毒软件是否存在。如果客户端系统未运行 eTrust,用户会收到包含最新防病毒软件安装说明的通知。如果用户没有在给定的时段内安装该软件,Microsoft IT 将拒绝用户对网络的访问,直至其系统符合要求。

Outlook 2003

与在网关层一样,在客户端上使用附件管理功能增强病毒扫描对确保用户计算机的安全是至关重要的。Outlook 2003 已经改进了旧版本中的附件拦截功能。与在网关层剥离附件的构思一样,Outlook 为用户提供了拦截各种潜在恶意文件类型的能力。

注意:有关附件拦截的详细信息,请参阅 Microsoft 知识库文章“在 Microsoft Outlook 中无法打开附件”,其网址为:http://support.microsoft.com/kb/829982。

除拦截附件外,Outlook 2003 还限制以编程方式访问通讯簿,从而最大限度降低了恶意代码通过向通讯簿中的收件人分发电子邮件来自我传播的可能性。如果当前登录用户以外的用户或 Outlook 2003 以外的某个外部程序在访问 Outlook 通讯簿,Outlook 2003 会自动在用户屏幕上显示通知。

Microsoft IT 通过提前阻止旧版本 Outlook 客户端访问其 Exchange 服务器,来加强对其消息传递基础结构中的客户端版本的日常控制。通过维护电子邮件客户端软件的版本控制,可以确保用户能够利用 Outlook 最新版本中内置的安全功能。

 

其他的消息传递安全机制技术

综合性的消息传递安全机制策略不仅能够防御病毒和垃圾邮件,还能防御其他与电子邮件相关的威胁,例如“邮件炸弹”,即使用大量无用的电子邮件瘫痪某个特定的收件人或整个电子邮件系统,以图达到关闭系统的目的。此类攻击不仅令人讨厌;它不是垃圾邮件,而是有目标的拒绝服务攻击。

另一类型的威胁是“目录搜集攻击”,它试图通过分析服务器对电子邮件提交命令的响应来发现大量有效的收件人地址。垃圾邮件制造者通过使用各种可能的字母数字用户名将垃圾邮件发送到电子邮件服务器时,就会发生目录搜集攻击。当电子邮件服务器被配置为将无法递交的消息退回给发件人时,垃圾邮件制造者就可分析接收到的结果来确定哪些电子邮件地址未被退回,并由此确认它们是有效的。

要抵御这些类型的威胁,仅有反垃圾邮件和防病毒解决方案是不够的。现在,Microsoft IT 使用本节所介绍的 Exchange Server 2003 SP2 的安全功能来抵御这类威胁以及一些相似的威胁。

连接筛选

Exchange Server 2003 SP2 包括连接筛选功能,用于将连接服务器的 IP 地址与拒绝的 IP 地址列表(也称作实时黑名单)相比较。当 SMTP 会话启动时,立即进行 IP 地址比较,从而使组织能够在消息提交的最初阶段阻止这些消息连接到其网关。在实时黑名单中的服务器提交邮件之前,连接已经断开。此方法可使消息传递和网络层的性能得以提高。

组织可通过手动创建全局拒绝列表和全局接受列表,或通过使用第三方维护的已知被阻止 IP 地址(也称为实时黑名单)数据库,在 Exchange Server 2003 SP2 中建立连接筛选。

大多数 Exchange Server 2003 SP2 服务器均部署在企业外围设备之后,不会直接面向 Internet。这种布局降低了连接筛选的作用,因为这一功能依靠获取原始发件人的 IP 地址来运行 DNS 查询。SP2 版本引入新报头分析算法来检索源 IP 地址,从而解决了上述问题。部署了连接筛选的 Exchange Server 2003 SP2 可置于组织内的任何位置,其执行的筛选与外围设备上相同。

全局拒绝列表和全局接受列表

组织可以创建其自己的静态拒绝 IP 地址列表。顾名思义,全局拒绝列表包含组织决不想接受其电子邮件的特定 IP 地址和网络。相反,组织也可以创建一个全局接受列表,列表中包含组织不想对其应用电子邮件拦截或筛选策略的 IP 地址和网络。全局接受列表中可以包括分支组织的 IP 地址或组织信任的商业合作伙伴的 IP 地址。这样,如果组织不想冒误报的风险,就可以将受信任的发件人的电子邮件服务器 IP 地址添加到组织的全局接受列表中。

注意: 除使用全局接受列表和全局拒绝列表外,组织还可将 Exchange Server 2003 配置为根据 IP 地址来接受连接或拒绝连接。可以在各个 SMTP 虚拟服务器上定义此配置,并可使其优先于全局接受列表、全局拒绝列表和实时黑名单的全局 IP 筛选功能。

实时黑名单

实时黑名单是基于 DNS 的数据库,其中包含已知经过验证的垃圾邮件源的 IP 地址。可以从专门不间断监视 Internet 并记录已知垃圾邮件源的公司获得实时黑名单。检测到令人讨厌的 IP 地址后,就会将它们添加到实时黑名单数据库。这些列表通常可免费获得;但如果邮件管理员希望获得扩展服务,则需要交纳一些费用。

Exchange Server 2003 SP2 可使用第三方实时黑名单。配置为使用第三方实时黑名单时,Exchange Server 2003 SP2 服务器将根据实时黑名单数据库来检查提交服务器的 IP 地址,如果找到匹配项,则会拒绝连接。

因为实时黑名单功能基于发送服务器的 IP 地址而不是消息内容来做出筛选决策,所以从技术角度而言,实时黑名单与第三方反垃圾邮件软件属于不同的类别。实时黑名单就像看门人一样,可以阻止来自已知的恶意或可疑服务器的消息进入环境中。通过了实时黑名单的邮件向网络迈进了一步,但是只有等到下一层消息传递安全机制(例如反垃圾邮件软件)对其内容进行检查后方能进入网络。

因为 Microsoft IT 每天进行的与实时黑名单相关的 DNS 查询的数量十分巨大(几千万),Microsoft IT 将实时黑名单的镜像备份按预先确定的时间间隔(通常为每天数次)定期传送到其本地 DNS 服务器。大多数列表提供商会要求对那些查询量多于每天 250,000 次的实时黑名单保留本地备份。列表提供商称实时黑名单的传输为“区域传输”。Microsoft IT 将其 Exchange Server 2003 网关配置为根据那些本地 DNS 服务器进行与实时黑名单相关的 DNS 查询。

实时黑名单提供商

因为不同的实时黑名单提供商提供不同类型的列表和服务,所以 Microsoft IT 在进行选择之前仔细考虑了多家供应商。Microsoft IT 基于提供商对以下问题的回答做出了决定:

列表质量。是否有人验证添加到列表的新 IP 地址确实是垃圾邮件制造者?任何人都可以向列表添加 IP 地址吗?

列表安全性。列表是否经过某种安全检查?有没有人验证此列表中是否有错误的或恶意添加的 IP 地址?

更新列表的过程。审核过程如何进行?如果添加到列表是自动进行的,那么在垃圾邮件发送行为停止后从列表中删除也应该是自动进行的。列表更新速度如何?

列表传输过程。提供商是否允许直接与 Windows DNS 兼容的完全或增量 Berkeley Internet Name Domain (BIND) 式传输?

黑名单提供商所提供的支持。提供商提供何种级别的支持?

管理问题

组织使用实时黑名单服务时,一个最重要的问题是要有一个现成的过程来处理被意外放入名单中的合法发件人。Microsoft IT 将其网关配置为向被实时黑名单拒绝的发件人发送通知。为拦截的连接生成的通知邮件会指出消息被拒绝的原因,并会指出是哪家提供商和哪个实时黑名单导致发生拦截的。发件人必须联系实时黑名单的供应商,解决此问题,并将其 IP 地址从列表中删除。

那些担心合法发件人被拦截的组织,或不想依靠发件人来联系实时黑名单提供商的组织,可以创建一个电子邮件帐户或通讯组并将其添加到 Exchange Server 2003 SP2 的例外列表中。直接发送给例外列表中所列收件人的消息将绕过实时黑名单的规则。使用此电子邮件地址时应注意的是,垃圾邮件制造者可以向绕过实时黑名单规则的电子邮件地址发送垃圾邮件。如果发生了这种情况,可以很容易更改电子邮件地址。

对于选择在其 DNS 服务器上管理实时黑名单数据库的大型公司而言,所有相关团队之间的协作和紧密合作十分重要。例如,在 Microsoft,DNS 工程团队在 DNS 服务器上为实时黑名单建立本地镜像副本,而 Exchange 支持组负责对 Exchange 服务器网关(该信息的主要用户)进行管理。这两个小组谨慎地协调他们的活动并按照一个严格的过程进行工作。某些大型列表可能会影响 DNS 基础结构的性能。DNS 工程团队为此进行了必要的测试和评估,以确定列表会对他们的环境造成什么影响。这两个组会继续为实现他们的目的而紧密配合。

发件人筛选

发件人筛选检查每个传入电子邮件消息的发件人地址,并将其与管理员配置的拦截发件人列表进行比较。表中包括 Microsoft IT 决不会接受其电子邮件的电子邮件地址和域。通常,此列表包含发送大量无用电子邮件的地址,例如来自与业务无关的站点的电子邮件。Microsoft IT 并不将这些发件人视作垃圾邮件制造者,而只是组织不想从其接收电子邮件的域或个人。

单靠发件人筛选并不足以抵御各种变换无穷的垃圾邮件消息。因为垃圾电子邮件常来自动态或随机发件人,所以基于特定发件人地址的筛选并不十分有效。不过,发件人筛选对于降低来自特定源或电子邮件域的邮件炸弹攻击风险,会十分有用。在 Microsoft IT 环境中,仅凭发件人筛选功能一天便可拦截数十万条消息。

空白发件人筛选

通常,合法的电子邮件都包含一个有效的发件人电子邮件地址。发件人地址为空的消息通常是不合法的。Microsoft IT 依靠 Exchange Server 2003 SP2 在其网关处拦截这些消息,这样可以进一步将环境所接受的垃圾邮件数量降至最低。

收件人查找

Microsoft IT 在其 Exchange Server 2003 SP2 网关服务器处还采用收件人查找机制。Exchange Server 2003 SP2 的此项功能可以在协议级检查收件人的有效性,如果有效,则接受传送消息这一任务。它会拒绝向不存在的用户传送的消息。

收件人查找十分有用,因为其他的筛选器未必能够拦截这类消息。处理大量此类无用的电子邮件未必会给消息传递服务器和整个网络带来压力。此功能会减少电子邮件量,但如果不这样,系统就要试图传送这些邮件,然后又要将它们退回。

管理员应在实现收件人查找时应谨慎。它可能导致消息传递环境容易遭受目录搜集攻击。要降低此类攻击的风险,通常的方法是延迟对无效收件人请求的响应。这种方法可以在拦截发往无效收件人的消息的同时,防止有人企图快速搜集电子邮件地址。Microsoft IT 将 Exchange Server 2003 SP2 网关配置为在正常接受有效邮件的同时,减缓服务器对无效收件人的响应,从而将目录搜集攻击的风险降到最低。

注意:有关此过程的详细信息,请参阅 Microsoft 知识库文章“A Software Update Is Available to Help Prevent the Enumeration of Exchange 2003 E-Mail Addresses”(帮助阻止枚举 Exchange 2003 电子邮件地址软件更新已推出),其网址为:http://support.microsoft.com/kb/842851。

收件人筛选

利用 Exchange Server 2003 SP2 中的收件人筛选功能,Microsoft IT 得以防范或减轻有目标的邮件炸弹的影响。通常,成为此类攻击目标的收件人根本就不需要接收来自 Internet 的消息。收件人筛选在网关层根据某个标准(例如消息发送地址)拒绝消息。

尽管收件人筛选在防御实时垃圾邮件威胁方面不如实时反垃圾邮件解决方案有效,但其在降低邮件炸弹攻击方面却非常有用。最近,收件人筛选的使用使 Microsoft IT 在一天内就拦截了发往少数几个收件人的数百万封邮件。

受限通讯组

电子邮件通讯组在组织中很重要,但却可能增加消息传递环境中的消息量,并可能引入新的安全漏洞。通讯组可能包含大量的收件人,是未经请求的电子邮件和恶意电子邮件的发件人的主要目标。恶意电子邮件成功提交到大型通讯组所带来的影响,比相同的邮件提交到特定个人收件人的影响要严重得多。

Microsoft IT 通过 Exchange Server 2003 SP2 中的功能,使管理员能够以两种方式限制电子邮件通讯组。首先,管理员可以配置一个通讯组来只接受来自特定发件人列表的消息。其次,管理员可以配置一个通讯组来只接受来自通过身份验证的用户的消息。如果发件人未通过身份验证,则发往受保护通讯组的消息将被拦截。Microsoft IT 在此基础上又进一步加强了限制,所有不必与 Internet 之间收发电子邮件的通讯组都受到限制,从而防止外部用户向这些通讯组发送电子邮件。

禁止发件人显示名称解析

Microsoft IT 通过 Exchange Server 2003 SP2 的一项功能,使管理员能够禁止对匿名发送的传入电子邮件消息自动执行发件人显示名称解析。通常,当发件人地址与 Active Directory® 目录服务中所包含的代理地址相符时,Outlook 2003 客户端会自动将发件人地址解析为适当的显示名称。如果管理员使用 Exchange Server 2003 SP2 禁止自动解析显示名称,则此消息会被做上标记,这样 Outlook 2003 将不会解析显示名称,收件人会在 Outlook 邮件标题中看到 Internet 电子邮件地址,而不是全局地址列表中的显示名称。此项功能为收件人提供了形象的指示,说明该消息来自 Exchange Server 2003 SP2 组织之外,因而有可能被篡改。

 

最佳实践

Microsoft IT 认识到尽管客户的环境各不相同,但每位客户都同样要应对垃圾邮件、病毒、电子邮件攻击和其他与电子邮件相关的安全威胁。Microsoft IT 开发或实施了以下最佳实践做法,来确保在维护可用性的同时达到尽可能高的防御水平:

采用多层防御以达到最有效的结果。由于当今垃圾邮件和恶意软件在 Internet 上泛滥,单一的防御手段对任何公司都不再有效了。就在几年前,Microsoft IT 还仅仅使用一种筛选解决方案,只拦截 40% 的垃圾邮件。而今,每天传入的 Internet 电子邮件的数量有数千万,其中的约 95% 被拦截。现在,多层防御方法已经就绪,Microsoft IT 可以借此拦截掉几乎所有的垃圾邮件。

在消息传递网关处扫描垃圾邮件和域盗用。为将通过内部网络路由的垃圾邮件和盗用消息量降至最低,Microsoft IT 开始在网关层扫描垃圾邮件。其宗旨是在离网络最外层尽可能近的地方进行扫描。扫描完消息之后,对可疑消息可以选择存档、拒绝、删除或不采取任何操作。鉴于 Microsoft 消息传递环境每天从 Internet 接收的电子邮件量,Microsoft IT 目前使用网关阈值的删除操作。在网关处删除垃圾邮件是最合理的选择,因为传递和存储可疑垃圾邮件的成本太高了。其目的是尽量减少在网络中处理和传递的垃圾邮件。

先扫描垃圾邮件,再扫描病毒。因为反垃圾邮件扫描拦截了绝大部分从 Internet 传入的邮件,所以先扫描垃圾邮件后扫描病毒是合理的。对随后将被鉴定为垃圾邮件的邮件进行病毒扫描是不划算的,因为那些邮件最终将会被拦截。存储这些消息以及在网络中传输它们需要额外的磁盘空间、网络带宽和服务器处理周期。

删除而非清理受感染的消息。尽管某些防病毒解决方案可以从消息中删除检测到的病毒,并保留消息内容(通常称为清理消息),但此种尝试可能不完全有效。Òò´Ë,在系统中发送这些消息可能会带来危险。对于某些感染类型(例如大量邮发的蠕虫),大量清理后的邮件仍可能会引起系统的性能降低。Microsoft IT 选择删除而不是清理受感染的消息,因为每天都会收到大量的电子邮件。清理后的邮件增加了必须在网络中存储和路由的电子邮件的总数。不过,Microsoft IT 意识到有些公司对删除电子邮件犹豫不决,可能会选择尝试清理受感染的电子邮件。

剥离某些文件类型的附件。Microsoft IT 认为,附件拦截是对基于签名的病毒扫描的重要补充。附件的剥离提供了一个额外的防御层,可以帮助环境防范在电子邮件附件内传输的未知或最新发布的、尚未为其推出或部署签名文件的恶意软件的攻击。最好是在电子邮件网关层实现附件剥离,并将网关层附件剥离策略与客户端实施的附件拦截策略相结合。

禁用 Internet 发件人安全性通知功能。Microsoft IT 认为,最好不要向 Internet 上的发件人发送通知,原因如下:

通知会泄漏消息传递安全机制系统的功能,因而会带来不必要的安全风险。

发件人的身份通常无法确认(因为是盗用);因此,通知电子邮件可能会到达错误的用户,而此用户可能已收到了大量的通知。

当受感染的消息量较大时,通知可能会导致远程系统上发生分布式拒绝服务。

对传入和传出的电子邮件都进行病毒扫描。尽管我们主要关注通过扫描传入的电子邮件来保证 Microsoft IT 消息传递环境没有病毒,但我们同样也关注内部用户是否会在无意中因传出的电子邮件中包含病毒而使其他用户和外部收件人受到感染。

为受感染的传出 Internet 电子邮件生成安全通知。如果内部用户无意中向外发送了受感染的消息,则此用户的计算机可能已经感染病毒了。需要通知这样的内部用户,才能使其将病毒从自己的系统中删除,从而避免发送更多受感染的电子邮件。

使用受限通讯组。受限通讯组允许管理员控制哪些用户可以向特定通讯组发送消息,从而减少了总体电子邮件数量,降低了风险。此项 Exchange Server 2003 SP2 功能提供各种级别的控制。

在客户端系统上实施一致的防病毒策略。整个消息传递基础结构中的一致性对消息传递环境的安全至关重要。各用户必须知道并了解他们在此过程中的角色及提供给他们的控制级。

控制网络和路由的最外层。我们重申 Microsoft IT 的多层消息传递安全机制:组织应当在整个消息传递基础结构内实施尽可能多的防御措施,从离 Internet 尽可能近的地方开始,在基础结构的每一层都要实施,一直实施到客户端层。防御措施应相辅相成。

拦截空白发件人。通常,来自空白发件人的电子邮件是不合法的。垃圾电子邮件往往使用空白发件人来隐藏消息发送者的身份。因此,Microsoft IT 认为最好拦截未指定发件人的电子邮件。

拦截来自某些 IP 地址和域名的电子邮件。在有目标的垃圾邮件或邮件炸弹攻击期间,当恶意消息来自已识别的源时,基于 IP 地址的筛选和发件人筛选就会提供快速有效的对策,帮助拦截令人讨厌的消息流,减少对基础结构的影响。

返回页首返回页首

结束语

就像当今的大多数公司一样,Microsoft IT 必须始终保持警惕,准备抵御垃圾邮件、病毒、电子邮件攻击和对其基础结构的其他安全威胁。尽管 Microsoft IT 因其独特的运行环境(由服务器、平台、应用程序和操作系统(包括发行版本和预发布版本)组成的复杂混合体)而面临一些不寻常的挑战,但 Microsoft IT 与其用户用来保护基础结构的安全性的核心原则是相同的。

Microsoft IT 消息传递安全机制策略的最重要主题就是多层方法不可或缺。仅仅在基础结构的一个层次上抵制垃圾邮件、病毒和其他恶意攻击是根本不够的。因此,Microsoft IT 已经在整个消息传递基础结构的多个层次部署了防病毒软件。Microsoft IT 通过结合使用第三方解决方案和 Exchange Server 2003 SP2 与 Outlook 2003 中内置的许多功能加强了其防御能力。

Microsoft IT 策略的指导原则是必须防止大批垃圾邮件和恶意消息进入网络。因此,Microsoft IT 已在网络网关处采用了大量的筛选进程。Microsoft IT 还从先前的消息传递拓扑中消除了一组专用服务器,从而改进了网络基础结构。所有这些努力均有助于缩减 Microsoft IT 的 TCO。Microsoft IT 认识到其环境的流动性,并将继续修订其消息传递安全策略,以响应通过 Internet 带给网络的不断变化的危险。

相关文章 热门文章
  • “发妻”揭院士候选人“包N奶”电子邮件露“奸情”
  • 韩媒称韩国学生电子邮件收发能力全球排第一
  • 漫画网管员系列:病毒及垃圾邮件伤不起
  • 恶意入侵者利用Gmail等发起精准性攻击
  • 社交网站和电子邮件正威胁英国家庭生活
  • 电子邮件编年史1971~2011(配图,附中文翻译)
  • 今年6月垃圾邮件总数400亿件 同比大降82.22%
  • 十大提高电子邮件阅读效率的应用
  • IMF系统遭黑客攻击 部分电子邮件和文档丢失
  • 避免AD攻击 防止密码破解和其它常用目录攻击
  • 终结邮件服务器攻击 采取措施阻止拒绝服务攻击和目录收集攻击
  • Microsoft Exchange Server 邮件安全
  • Exchange 2000 Server 常见问题(四)
  • Exchange 2000 Server 常见问题(一)
  • Exchange 2000 Server 常见问题(三)
  • Exchange 2000 Server 常见问题(五)
  • Exchange 2000 Server 常见问题(二)
  • 部署Exchange Server 2003问题集(1)
  • Telnet到端口25以测试SMTP通信
  • 限制Exchange用户从Internet收发邮件
  • Exchange Server管理与设定(一)
  • 使用Exchange 2000 Server 构建多域名邮件系统
  • 虚拟内存碎片的检测和EXCHANGE的内存优化
  • Exchange Server 公用程序(一)
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号