电子邮件是网络系统管理员需要考虑的一个重要问题,因为其容量大、可以携带安全威胁。一些非预期的电子邮件既烦人,又影响互联网安全,因此,它们通常也被称为垃圾邮件(Spam),由无数组垃圾邮件服务器(Spammer)大量发送,它们浪费资源,传输恶意软件,并企图把阅读电子邮件的人引导到会利用安全脆弱性的Web页面。
阿姆瑞特安全网关提供以下两种不同的电子邮件过滤子系统:
基于IP策略的电子邮件过滤,适用于IMAP、POP3以及SMTP
基于IP策略的电子邮件过滤直接在IP策略对象上开启,基于IP策略的电子邮件过滤包含了完整的综合反垃圾邮件能力,它为用户提供一组不同的过滤技术,该功能支持POP3、IMAP和SMTP流量。
基于SMTP应用层网关(SMTP ALG)的电子邮件过滤
该功能通过启用SMTP ALG来实现电子邮件过滤。它主要依靠DNSBL黑名单数据库来进行反垃圾邮件过滤。
其中基于IP策略的电子邮件过滤适用于IMAP、POP3和SMTP数据流。在使用IMAP和POP3过滤的时候,如果电子邮件过滤失败的时候它们不会被丢弃,而是会被标记为失败。在使用SMTP的时候,电子邮件可以被丢弃或者被转发。
功能
通过定义何种电子邮件需要被过滤、添加一个或多个电子邮件过滤器对象、电子邮件黑名单(在过滤之前自动拒绝)和白名单(不会被过滤),网络系统管理员就可以轻松实现电子邮件过滤以实现以下的功能:
● 全面的垃圾邮件过滤
● 防止服务器暴露用户名不存在
● 阻止未知命令
● 阻止客户端发送USER和PASS命令
● 支持通配符的白名单/黑名单
● 最大电子邮件频率
● 最大电子邮件大小
阿姆瑞特反垃圾邮件的特点
● 积分机制
反垃圾邮件功能启用之后就会进行积分的计算,其原理主要是把各项子分值相加,如果一封电子邮件的积分达到一定的值,就会被标记为垃圾邮件或丢弃。
● 域验证
启用该功能后,阿姆瑞特安全网关将执行一个DNS的MX查询来验证一个邮件服务器的IP地址是否和该电子邮件的发送者的域相匹配,以此来判断“冒名顶替”的垃圾邮件。
● 恶意链接保护
该选项对电子邮件中不需要的或恶意的HTML链接进行无害化处理。
● DCC
电子邮件过滤的分布式校验和交换(DCC)是阿姆瑞特安全网关的一个重要的特色,它会发送一封电子邮件的校验和给一个外部的交换服务器。这台服务器返回一个值,用于表示有多少其它电子邮件的接收者已经报告了相同的校验和,如果返回的值大于DCC阈值,该邮件的积分就会增加。
● DNS黑名单
启用DNS黑名单后,就可以指定最多10个不同的DNS黑名单(DNSBL)服务器,该功能支持使用“*”、“?”作为通配符来处理大量的相似来源的电子邮件。
● 电子邮件主题标记
在邮件主题中加入“*** SPAM ***”,但这可以自定义为任何字符串,比如:
Buy this stock today!
自定义后的效果:
*** Probably SPAM *** Buy this stock today!
然后不同的用户就可以在自己的电子邮件接收客户端中设置如何处理具有此种标记的邮件,一般情况下都是发到另外的文件夹中。
● 电子邮件头标记
这一功能向电子邮件头数据包的最后插入X-Spam信息,用于表示反垃圾邮件机制已经对该邮件进行了检查。
● 恶意链接保护
恶意链接保护主要实现对电子邮件中的恶意链接进行无害化处理。电子邮件中的链接将由阿姆瑞特的动态网页内容过滤(DWCF)模块进行判断,然后再对这些链接进行归类,从而实现链接保护、链接保护积分以及链接保护分类。
● DNSBL一致性
阿姆瑞特安全网关支持向多个DNSBL服务器进行查询,以此来形成一个关于一个电子邮件源地址的一致意见,从而减少垃圾邮件的误判。同时,不同的DNSBL服务器可以被配置为不同的权重,管理员又可以根据不同的权重来处理邮件。
● 转发到指定的垃圾邮件收件箱
网络系统管理员可以配置一个特定的电子邮件地址来接收所有被丢弃的电子邮件,如果进行了这样的设置,阿姆瑞特安全网关就可以有先插入特定文本消息,然后再转发到特定的收件箱。
● 向发送者返回错误消息
如果没有配置接收电子邮件地址以用于被丢弃的邮件,那么它们将会被cOS Core丢弃。但管理员可以指定向发送者返回一条错误消息,在其中包含来自DNSBL服务器的文本消息。
● 支持添加X-Spam信息
阿姆瑞特安全网关可以在系统管理员的配置下,向电子邮件中添加X-Spam-Flag、X-Spam-Checker-Version、X-Spam-Status、X-Spam-Report、X-Spam-TXT-Records、X-Spam_Sender-IP等字段。
● DNSBL服务器容错
如果对一个DNSBL服务器的查询超时,那么cOS Core将认为该查询失败,同时,在为一封电子邮件计分时,分配给该服务器的权重就会自动地从垃圾邮件和丢弃阈值中减去,因而少数DNSBL服务器的故障不影响垃圾邮件过滤。
● 电子邮件发送者验证
作为反垃圾邮件模块的一部分,阿姆瑞特安全网关对SMTP协议命令中的“From”地址和电子邮件头中的“From”进行比对以检查是否有不匹配的现象存在,垃圾邮件的发送者可以故意制造这样的不同以逃避过滤。一旦发现了不匹配的现象,这种邮件就会被丢弃或被标记。
● 日志
ALG中的垃圾邮件过滤机制一共具有三种类型的日志:
对丢弃和被标记为垃圾邮件的电子邮件进行日志记录–这些日志包含了电子邮件的源地址和IP以及其权重得分以及哪个DNSBL导致了该事件。
DNSBL无响应– DNSBL查询超时被记录到日志。
所有定义的DNSBL都停止了响应–这是高严重程度的事件,因为此时所有的电子邮件将被允许通过。
● 邮件地址缓存
阿姆瑞特安全网关支持电子邮件地址缓存,这种特点可以极大的加快反垃圾邮件过滤的速度和性能,在缓存已满的情况下,它还可以自动清除相对较旧的缓存条目。
● 实时监视
通过实时监视,系统管理员可以清楚地看到已检查的电子邮件数量、被标记的电子邮件数量、被丢弃的电子邮件数量、每个DNSBL服务器的访问过程中的阳性响应数、发送的查询数、失败的查询数等信息。