【IT168专稿】在邮件高安全性应用环境如银行、金融、证券、基金等行业中，对邮件的安全要求越来越高，比如在金融机构之间往来的邮件要求在发送、接收上进行加密。通常的邮件网络不支持邮件加密技术，只能要求通过邮件服务器来实现，而有了邮件安全网关则可以非常灵活的进行邮件加密。另外一方面，随着SMTP技术的发展，邮件安全网关能够针对SMTP技术本身存在的一些缺陷，提供很多的扩充解决方案，比如像SPF(Sender Policy Framework 发信人策略架构)可以对发送邮件进行数字签名，保证邮件在传输过程中不被修改和窃取。

　　在法规遵从性要求上，在国内或国外上市的公司都有各种各样的法规要求，如塞班斯法案，医疗保健领域的HIPAA法案等。对于非上市公司，道德上的要求不能传输含有不健康内容的邮件，一般公司制定的各种规章中很少有关于邮件使用方面的规定，但是随着邮件网络的快速发展这方面的需求将日益突出，采用邮件安全网关可以实现企业对用户使用邮件的监控，如下图。

　　在高可用性支持方面，IronPort邮件安全网关也做了充分的考虑。在所有的设备型号上，磁盘都采用了冗余配置的方式并且做了镜像，在通信网络接口上，采用NIC Pairing(网卡配对)方式，即便是服务现有高可用性设备也可以实现网络通信的冗余。在高可用性的应用环境中，通常部署两台或更多的设备来组成集群，可以避免因一台设备出现故障导致系统瘫痪，通过增加多条MX记录、采用四层交换机可以实现负载均衡。IronPort邮件安全网关支持很多的技术，应用灵活，所以高可用性是它的一个比较大的亮点。

　　用户在IronPort邮件安全网关使用过程中会希望了解设备的使用状态，包括垃圾邮件、病毒邮件数，正常邮件数，哪些用户发送邮件量排名靠前，邮件发送到的域名有哪些等。通过IronPort邮件安全网关可以很容易的记录下上面的这些数据，邮件管理员或企业IT负责人可以通过这些数据来了解邮件使用的整体情况。部署多台设备时还可以提供集中的报表管理，这时候可以通过集群的管理方式把所有的报表信息集中到一台设备上来进行管理，这台设备简称为SMA(Security Management Appliance)，集中报表反映了企业完整的报表数据。集中报表和数据跟踪示意图如下。

　　IronPort邮件安全网关支持独立配置和集中配置管理，无需额外的服务器或软件支持。在部署了多台设备的环境中，所有设备加入一个预先设置的Cluster(集群)中，其中的一台设备定义为Console(控制台)做主控端，在配置设备时只需要在主控设备上完成配置，配置设置就会自动下发到Cluster中的其他设备上。在设备较多，分支机构较多，经常修改配置策略的环境中，这种集中配置方式就非常有用，能大大提高管理员的工作效率，提高准确性。集中配置管理示意图如下。

　　一封邮件从互联网先进入到邮件网关，经网关处理之后便进入到邮件服务器中，在邮件网关中的处理过程称为邮件管道。邮件管道的处理过程包括六个步骤，如下图。

　　六个步骤依次为：信誉过滤器，邮件过滤器，垃圾邮件过滤器，病毒邮件过滤器，内容过滤器，未知病毒爆发过滤器(VOF)。

　　信誉过滤器通过SensorBase数据库检查发件人的IP地址的信誉评分，将具有相近评分的发件人划归到某个发件组，再将邮件流策略应用到相应的发件组，恶意发件人直接拒绝。

　　IronPort信誉过滤器的工作过程如下图。

　　上图为模拟的一封邮件发送过程。假设邮件是从Internet域名outside.com发送过来，该域名的IP地址为64.12.193.85。当邮件进入到IronPort网关时，首先需要判断发件人的信誉度是多少，这时网关先在它自己的信息库中寻找有没有该IP地址的发送记录，如果没有，则通过UDP方式向SensorBase发送一个请求以获得该发件人的信誉度。在本例中的发件人的信誉度是-2.7，网关根据该信誉度确定发件人属于哪一个发件人组，图中发件人属于一个SUSPECTLIST(可疑)组，该组对应的邮件流策略为THROTTLED(限制)策略。

　　邮件过滤器能实现一些非常精细的邮件过滤功能如邮件退回、删除、隔离等等，也可以给管理员发送告警信。邮件过滤器(Message Filters)和后面的内容过滤器(Content Filters)在功能上有类似之处，但邮件过滤器是在Anti-Spam模块之前，它更多的是针对预先设定的策略，无论接收的邮件是何种类型都用预先策略处理。

　　Anti-Spam防垃圾邮件模块在前面提到是采用两层的过滤策略：基于TCP连接的信誉过滤和基于深度扫描邮件内容后的内容过滤。Anti-Spam防垃圾邮件模块采用CASE上下文自适应扫描引擎，CASE是由一个扫描引擎和规则库组成。扫描引擎负责对邮件的正文进行扫描、分析并提取特征，之后和规则库进行匹配，确定邮件是垃圾邮件的百分比，用它来和预先的阀值进行比较。CASE的规则库是自动更新的，不需要管理员的干预。CASE进行内容分析时包括四个方面：谁在发送垃圾邮件、邮件是如何构成的、邮件内容包含了哪些内容、邮件包含了哪些URL连接。

　　一个CASE分析垃圾邮件示意图如下。

　　垃圾邮件在判定和隔离时可能会采用直接删除或退件措施，但这种方式存在风险，删除不确定的邮件可能会给用户带来损失。采用隔离区策略可以很好解决隔离处理中的问题，隔离区有系统级隔离区和ISQ用户级隔离区两种，系统级隔离区存放重要的或只有管理员能查看的可疑垃圾邮件，用户级隔离区存放发送给用户的可疑垃圾邮件。用户可以对用户级隔离区自行管理，决定删除或放行邮件。在垃圾邮件非常严重的环境中，应该采用严格的过滤策略：删除确定的垃圾邮件，隔离可疑的垃圾邮件;当垃圾邮件不严重或用户认为删除邮件风险太大时应该采用保守过滤策略：对确定的和可疑的垃圾邮件都进行隔离。

　　在Anti-Virus防病毒邮件模块中IronPort支持多个防病毒引擎，推荐使用Sophos或McAfee引擎来扫描邮件，Sophos和McAfee能够扫描病毒、木马和蠕虫等。

　　内容过滤模块和邮件过滤模块在很多方面有相似之处(如前述)，它可以根据邮件的信体、邮件附件内容和大小、发件人地址、收件人地址等进行过滤，过滤出的可疑邮件可以采取删除、隔离、转发、加密、给管理员发送通知信等处理措施。对于进行过加密的邮件附件，也可以对附件的内容进行过滤，这对于企业的DLP(数据泄漏保护)来说有非常好的应用意义。内容过滤规则举例如下图。

　　上图示例的规则是隔离包含可执行文件类型附件的邮件。邮件从外部域名(outside.com)进入到邮件网关，通过邮件网关的接收器(Listener)接收并进入邮件管道，经信誉过滤器、邮件过滤器、垃圾邮件过滤器、病毒邮件过滤器后到达内容过滤器，在内容过滤器中要对邮件附件内容进行扫描，如果附件含有可执行文件，则对邮件采取隔离。

　　Anti-Virus防病毒邮件模块是针对已知病毒进行过滤，当邮件当中包含未知病毒时，未知病毒爆发过滤器(VOF)将发挥作用。VOF利用了SensorBase的过滤技术，SensorBase能侦测邮件特征，如一天内的某个时段某一地区平均邮件量是10万，当有一天邮件量突增到50万时，这种情况可能由未知病毒引起，SensorBase能够分析提取出多出邮件的邮件特征，并通知邮件网关上的VOF模块处理接收到的类似特征邮件。如下图是是否采用VOF模块时受病毒感染的客户端数对照图。

　　图中红线是未采用VOF模块时受病毒感染的客户端数曲线，是一个正太分布曲线，最高点上的回落是在大多数客户端都更新了防病毒引擎的特征库时发生。采用VOF模块时，红色曲线上升到I点时VOF模块收到SensorBase的异常警告，处理后受病毒感染的客户端数变为蓝色曲线，感染得到及时控制。图中的表格数据是实际情况中的数据对比。

　　VOF工作过程示意图如下。

　　VOF采用临时的邮件隔离策略处理未知病毒爆发。含未知病毒的邮件过滤出之后放到临时隔离区，当防病毒引擎特征库针对该病毒做更新后即可将隔离区中的邮件取出，经重新扫描过滤后发送到客户端。VOF处理方式能做到比病毒特征库更新平均提前13小时以上。