垃圾郵件防護(hù)一直是企業(yè)網(wǎng)絡(luò)安全中的重點(diǎn)和難點(diǎn)，垃圾郵件過多不僅會(huì)讓企業(yè)的效率減慢，而且一不小心就可能打開帶有病毒木馬的郵件，繼而泄露企業(yè)信息，令人防不勝防。雖然郵件安全防護(hù)一直以來在發(fā)展和提倡，但是垃圾郵件就如同小草一般吹風(fēng)吹又生。而且不僅是一般的企業(yè)用戶，包括一些電信運(yùn)營(yíng)商和郵箱運(yùn)營(yíng)商更是垃圾郵件的直接受害者。本篇文章就淺析郵件防火墻在企業(yè)中的應(yīng)用。

運(yùn)營(yíng)商反垃圾郵件困擾

1. 現(xiàn)有的防火墻和病毒防火墻只能阻斷來自網(wǎng)絡(luò)的普通攻擊，不能有效防止Internet混合在垃圾郵件當(dāng)中的病毒，蠕蟲，URL 等威脅，使得病毒能夠躲避傳統(tǒng)的防御方法，且將其代理文件植入到運(yùn)營(yíng)商郵件系統(tǒng)的網(wǎng)絡(luò)中。

2. 現(xiàn)有垃圾郵件防護(hù)系統(tǒng)不能有效的過濾垃圾郵件，導(dǎo)致系統(tǒng)內(nèi)存在著大量的垃圾郵件，占用了傳輸、存儲(chǔ)和運(yùn)算資源，不但造成網(wǎng)絡(luò)資源浪費(fèi)，降低了系統(tǒng)的使用率，還造成郵件服務(wù)器擁塞，降低了網(wǎng)絡(luò)的運(yùn)行效率，嚴(yán)重影響正常的郵件服務(wù)，對(duì)信息安全系統(tǒng)性能形成重大影響。

3. 由于垃圾郵件具有反復(fù)性、強(qiáng)制性、欺騙性、不健康性和傳播速度快等特點(diǎn)，嚴(yán)重干擾了個(gè)人的正常生活，浪費(fèi)了用戶的時(shí)間、精力和金錢，使得很多的用戶對(duì)運(yùn)營(yíng)商的服務(wù)產(chǎn)生了不滿，極大的影響了用戶滿意度，導(dǎo)致用戶對(duì)運(yùn)營(yíng)商投訴增加，甚至客戶流失的嚴(yán)重后果。

4. 大量的攻擊測(cè)試，由于電信屬于大用戶，目標(biāo)較大容易電信外部的郵件系統(tǒng)引起黑客興趣，配置稍有不慎即成為黑客的攻擊目標(biāo)，甚至成為垃圾郵件的中轉(zhuǎn)站，這樣不但嚴(yán)重影響電信系統(tǒng)內(nèi)部的正常郵件交流，而且很容易被國(guó)際反垃圾郵件組織列入黑名單，從而造成該郵件服務(wù)器無法向外界正常的發(fā)送郵件。

5. 電信郵箱的用戶群體比較巨大，很多電信域的用戶利用本域郵箱向外部其他郵箱發(fā)送垃圾郵件，很容易造成該域被其他的郵件服務(wù)器屏蔽，影響正常郵件發(fā)送，甚至有的郵件用戶向其他用戶發(fā)送反動(dòng)郵件，從而產(chǎn)生一些政治事件，嚴(yán)重影響運(yùn)營(yíng)商形象。

運(yùn)營(yíng)商典型的郵件系統(tǒng)環(huán)境

某大型電信網(wǎng)絡(luò)中，郵件服務(wù)器群架設(shè)在具有負(fù)載均衡功能交換設(shè)備后端，SMTP服務(wù)和POP服務(wù)在不同的服務(wù)器上實(shí)現(xiàn)，具備強(qiáng)大的負(fù)載均衡和抗攻擊能力。

反垃圾郵件產(chǎn)品的安裝模式

以梭子魚垃圾郵件防火墻為例，介紹一下運(yùn)營(yíng)商環(huán)境中的反垃圾郵件產(chǎn)品安裝模式：

1.MX 記錄修改模式

這種模式針對(duì)大型網(wǎng)絡(luò)中架設(shè)梭子魚后能夠給梭子魚分配公網(wǎng)地址的情況。

通過在DNS上修改本域的MX記錄，使MX記錄優(yōu)先指向梭子魚的公網(wǎng)IP地址，從而使郵件流優(yōu)先流向梭子魚，經(jīng)由梭子魚過濾病毒和垃圾郵件后再轉(zhuǎn)發(fā)到郵件服務(wù)器。

前面所述的運(yùn)營(yíng)商典型郵件系統(tǒng)環(huán)境一般都屬于這種架設(shè)模式

2.端口轉(zhuǎn)發(fā)模式

這種模式針對(duì)局域網(wǎng)絡(luò)環(huán)境中，公網(wǎng)地址缺乏或者網(wǎng)絡(luò)環(huán)境不允許修改MX記錄的情況

通過將郵件域公網(wǎng)地址的SMTP端口指向梭子魚(NAT或者PAT)，其它端口不變，使郵件流先指向梭子魚的私網(wǎng)地址，梭子魚過濾完病毒和垃圾郵件后再轉(zhuǎn)發(fā)到郵件服務(wù)器的私網(wǎng)地址。

這種模式的優(yōu)點(diǎn)是架設(shè)簡(jiǎn)單，不需要對(duì)網(wǎng)絡(luò)架構(gòu)做大的修改。

運(yùn)營(yíng)商環(huán)境中的反垃圾郵件防火墻性能要求

1. 強(qiáng)大的郵件處理能力

對(duì)于運(yùn)營(yíng)商郵件系統(tǒng)而言，需要反垃圾郵件防火墻設(shè)備有強(qiáng)大的郵件處理能力，即支持上萬個(gè)郵件帳號(hào)，每日處理郵件量要達(dá)到上千萬封，我們可以看看梭子魚高端型號(hào)設(shè)備的郵件處理能力。

#p#

以下我們也看一個(gè)實(shí)際使用垃圾郵件防火墻的運(yùn)營(yíng)商系統(tǒng)情況：

　以上是單臺(tái)梭子魚垃圾郵件防火墻支持超過100,000郵件帳戶，日處理郵件數(shù)量達(dá)到200萬封的項(xiàng)目案例，從上圖中可以看到運(yùn)營(yíng)商的病毒郵件數(shù)量達(dá)到1.5%，而垃圾郵件數(shù)量則超過了90%。

2. 針對(duì)郵件瞬間峰值的郵件接收處理能力

　對(duì)于運(yùn)營(yíng)商而言，對(duì)垃圾郵件防火墻設(shè)備的瞬間高峰處理能力要求很高，這樣也就要求垃圾郵件防火墻設(shè)備要有強(qiáng)大的接收處理能力，能在郵件高峰時(shí)間，把郵件“吃進(jìn)肚子”，然后在慢慢消化。

運(yùn)營(yíng)商垃圾郵件防火墻要求實(shí)現(xiàn)負(fù)載均衡、冗余及容錯(cuò)

1. 通過DNS輪巡的方式實(shí)現(xiàn)負(fù)載均衡及冗余

通過DNS 的輪尋機(jī)制，郵件在傳輸?shù)侥撑_(tái)梭子魚前將經(jīng)過一個(gè)隨機(jī)挑選的過程，上圖所示的5臺(tái)梭子魚，在輪尋機(jī)制下有相同的幾率被選中，這將使進(jìn)入的郵件平均的分配到所有的梭子魚中，從而達(dá)到負(fù)載均衡的效果。

2.選擇專業(yè)的負(fù)載均衡設(shè)備實(shí)現(xiàn)負(fù)載均衡功能

除了以上的DNS輪巡模式以外，還可以選擇專業(yè)的負(fù)載均衡設(shè)備，采用加權(quán)最小連接數(shù)(WLC)、加權(quán)輪巡(WRR)及應(yīng)用程序只能引擎(Adaptive Scheduling)等模式來進(jìn)行負(fù)載均衡計(jì)算，把流量平均分配到幾臺(tái)梭子魚垃圾郵件防火墻上去。

運(yùn)營(yíng)商環(huán)境需要不斷提高垃圾郵件過濾技術(shù)

對(duì)于反濫發(fā)郵件措施,運(yùn)營(yíng)商的郵件管理者應(yīng)該意識(shí)到：:互聯(lián)網(wǎng)上增加了大量垃圾郵件;身份欺詐的手段在不斷變化;圖片垃圾郵件的飆升。依據(jù)這些趨勢(shì)精心策劃郵件防護(hù)部署，才能夠保護(hù)系統(tǒng)的安全。梭子魚垃圾郵件防火墻根據(jù)國(guó)際垃圾郵件的發(fā)展趨勢(shì)而增加了許多新技術(shù)，專門針對(duì)不同的攻擊類別，如圖片掃描，意圖分析，OCR技術(shù)，發(fā)件人特征識(shí)別等，緊密跟蹤垃圾郵件事態(tài)，立即響應(yīng)和動(dòng)態(tài)升級(jí)服務(wù)被驗(yàn)證能夠正確且有效的確保運(yùn)營(yíng)商郵件環(huán)境的安全。

【編輯推薦】

1. 病毒郵件預(yù)防十法
2. 反垃圾郵件 國(guó)家建立預(yù)警平臺(tái)
3. 新版Hotmail 垃圾郵件處理更智能
4. Rustock僵尸網(wǎng)絡(luò)涌現(xiàn)加密垃圾郵件
5. 2010年7月份垃圾郵件及釣魚攻擊現(xiàn)狀報(bào)告