用安全设备对抗钓鱼攻击和垃圾邮件

　　安全焦点

　　垃圾邮件在2006年增长了一倍，每天消耗819TB带宽。为了避开IP过滤，垃圾邮件越来越多地通过由数千台包含木马程序的主机组成的“僵尸网络(botnets)”发送。目前，三分之一的信息携带图像绕过文本过滤器，同时把资源浪费增加了浪费70%以上。目录收集攻击等垃圾邮件侦察活动正在耗尽电子邮件服务器容量。随着电子邮件越来越具有攻击性和难以捉摸，网络操作人员不得不寻求新的策略。电子邮件设备能够帮助你更有效地与垃圾邮件作斗争，夺回失去的用户、服务器和网络效率。

　　向你的网络增加电子邮件安全设备

　　大多数电子邮件安全设备旨在用于商业网络的，或者放置在周边防火墙与一个或者更多的服务器之间。如果你的电子邮件服务器部署在你的防火墙的隔离区，这种电子邮件安全设备应该嵌入在这个隔离区和电子邮件服务器之间。如果你有一个负载均衡的电子邮件服务器集群，你应该在这个集群的前面部署电子邮件安全设备。如果你有地区性电子邮件服务器，你可以把电子邮件安全设备部署在每一个区域的电子邮件服务器上，以扩大这个架构。

　　对于路由电子邮件的设备来说，把你的域的MX记录改变为电子邮件安全设备的公共IP。替代的方法是，某些电子邮件安全设备能够以透明的模式工作，在不影响MX记录的情况下与电子邮件服务器进行双向通讯。如果你指望电子邮件安全设备强制执行出网的政策，设置在你的局域网内部的服务器、路由器和交换机通过这个设备强制执行所有的出网的电子邮件协议。

　　根据这种设备和你如何使用它，也许需要进一步地集成。例如，电子邮件安全设备能够以同样的方式对待每一个人或者对设置的组和用户使用不同规则。在后一种情况下，考虑把你的电子邮件安全设备与活动目录结合在一起，把新的电子邮件属性与现有的组和用户对象结合在一起。隔离垃圾邮件的电子邮件安全设备也许能让收件人评估可疑的信息。如果这样的话，决定用户是否应该与你的安全设备互动以及如何进行这种互动，例如是通过一个Web门户或者微软Outlook或者Lotus Notes客户端插件。

　　在电子邮件安全设备中寻找什么

　　电子邮件安全设备是更快和更有效率地检查一种类型的通讯的专用设备。无论你的员工队伍是大还是小，性能都是最重要的。要选择一种适当规模的设备，你需要考虑处理能力(大量的扫描)、连接容量(许多同时的连接)、I/O容量(有效的电子邮件排队)、机上存储(用于隔离)和高可用性等功能。

　　电子邮件安全设备必须要加强。以防止错误头文件和电子邮件反弹淹没攻击等攻击。例如，一个垃圾邮件制作者也许会通过发送很长的随机列表@yourdomain来设法“收获”非法的用户名。那些没有返回信息的邮件地址被认为是非法的并且将在未来的垃圾邮件中使用。电子邮件安全设备应该能够在不泄露用户名或者出现过载的情况下阻止这种攻击。

　　下一步，电子邮件安全设备必须快速放弃从已知的垃圾邮件制造者发来的电子邮件，允许来自可信赖的来源的电子邮件通过，详细审查其它的电子邮件。资源过滤的方式也许包括信誉过滤器(如， DNSRBL)，本地黑名单和白名单、发件人身份识别(如，SPF、DomainKeys)和速率控制。内容分析方式可能包括文本方式和字典过滤、基于规则的评分、贝叶斯(Bayesian)分析、意向分析、垃圾邮件指纹、OCR过滤和重现方式检测等。例如，SPF设法验证源MTA(消息传送代理 )的身份，使白名单更加有效。OCR努力找出使用图像避开贝叶斯分析的垃圾邮件，而指纹设法检测出躲过OCR检测的动画或者分段的图像。随着垃圾邮件的继续发展，必须进行这种多层次的防御。

　　电子邮件安全设备还能够在病毒防御方面发挥重要的作用。有些设备还不仅包含一种杀毒技术。例如，在一个或者更多的基于特征的扫描引擎的帮助下，爆发分析能够在新的病毒爆发的早期阶段快速隔离可疑的消息。需要考虑的因素包括特征更新的频率、扫描引擎的性能、消息处理控制(如，重新定向、发送、标记、隔离、剥离和放弃)和压制要扫描的消息数量的能力。

　　过滤出网的消息的设备能够为广泛的商业理由强制执行电子邮件内容政策。方式过滤也许能够找出违反可接受的使用政策的非商业电子邮件携带的“禁止的词汇”。附件过滤器也许能根据文件类型或者内容分析阻止专有文件和表单的传输范围超出你自己的域。预先定义的遵守规定的字典也许能够自动隔离包含社会保险号、信用卡号、HIPAA法案保护的健康信息、GLBA个人金融信息等等。当这些敏感的消息传输到一个可信赖的目的地时，一些设备能够自动为这些信息加密以确保隐私的安全，不用依赖最终用户或者客户端软件。

　　管理、监视和报告功能是另一个重要的考虑。例如，你需要每一个用户都保存一个白名单和贝叶斯分析得分吗?你需要对金融和工程采用不同的附件政策吗?当病毒爆发期间电子邮件安全设备面临很大压力的时候，你能够接到报告和报警吗?你确实要让用户登录到这个设备管理自己的隔离队列吗?当选择适用于你的环境的正确的设备时，这些都是需要考虑的问题。

 　　 找到一种电子邮件安全设备

　　目前有许多电子邮件解决方案，从管理的安全服务(如，Postini)到DIY软件(如，BrightEmail)应有尽有。有些公司喜欢外包一部分或者全部电子邮件安全需求，而其它公司选择控制和监视它们自己公司内部的电子邮件防御。电子邮件安全设备提供一个中间地带：一揽子承包的方案应该比管理自己推出的软件更容易，不需要你通过一台第三方服务器发送所有的电子邮件。

　　目前，许多统一威胁管理防火墙(如，Fortinet)都包括垃圾邮件过滤和病毒扫描等功能。UTM设备能够组成你的外围电子邮件防御的一个有用的部分，但是，它们没有把重点放在具体电子邮件威胁和政策方面，没有达到专用电子邮件安全设备的那种重视程度。专门用来阻止垃圾邮件、挫败钓鱼攻击和强制执行电子邮件安全政策的硬件设备包括：

　　Barracuda Spam Firewall

　　InfoCrossing MessageScreen

　　IronPort Email Security Appliances

　　MailFoundry Email Filtering Appliances

　　Mirapoint RazorGate

　　MXtreme Mail Firewall

　　Proofpoint Messaging Security Gateway

　　RADirect PineApp Mail-SeCure

　　Sendio I.C.E. Box

　　Sendmail Sentrion Guardian & Gatekeeper

　　SonicWall Email Security Appliances

　　Sophos ES4000 Appliance

　　St. Bernard ePrism

　　Symantec Mail Security 8200

　　Tumbleweed MailGate