【IT168专稿】本文的目标是让您能够了解:常见的邮件安全问题、ESA(email security appliance 电子邮件安全设备)的主要功能、ESA的典型应用场景、ESA带给用户的价值、ESA的非常好的部署方案。涉及到的主题有:ESA简介、如何防御垃圾邮件、ESA系统架构、典型应用场景、邮件管道、邮件策略管理、数据泄露保护和内容过滤器、邮件加密。
ESA邮件安全简介
互联网技术的全球化、移动化、协作化发展,给用户带来很大方便,节约大量时间。而发展的同时各种威胁也不断出现,各行业推出了相关法规和安全策略,这些都是安全服务厂商需要面临和解决的问题。
思科的安全应用体系如下图。
安全应用体系涉及三个方面的内容,包括Cisco SensorBase、Threat Operations Center、Dynamic Updated。
Cisco SensorBase是一个全面的发件人信誉度和威胁数据库,其前身为IronPort公司运营管理的SenderBase,最初是针对邮件和Web安全来运营,包含了垃圾邮件发送者的信息和Web安全领域中的钓鱼网站、恶意网站等。现在的Cisco SensorBase已经不再局限于邮件和Web安全,更包括了一些像僵尸网络、肉机等新型的互联网危险。在未来的产品中,Cisco SensorBase数据除了应用于邮件和Web网关,还将应用于防火墙、IPS入侵检测等。
Threat Operations Center是由安全专家、分析师和程序员组成的威胁运营团队,每天24小时不间断的对SensorBase进行维护和更新,提供动态的实时的更新策略(Dynamic Updated)。
下面将针对Cisco SensorBase在邮件安全方面的应用作详细的介绍。
很多企业用户在使用邮件网关之前面临着各种各样的邮件问题如垃圾邮件、病毒邮件。通常的应对方法是使用防病毒邮件设备或单独的防垃圾邮件设备,存在分支机构的企业可能还需要部署邮件路由设备。通常这些设备是独立部署的,这将给用户的管理和效率都带来很大的问题。如下图是部署IronPort邮件安全网关前的网络结构。
部署IronPort邮件安全网关后(如下图),上面说到的问题都能得到解决。IronPort邮件安全网关集合了Anti-Spam(防垃圾邮件)、Anti-Virus(防病毒邮件)及其它的邮件安全特性。
防垃圾邮件
IronPort邮件安全网关通过两层来过滤垃圾邮件:SensorBase信誉过滤器(基于TCP连接)、IPAS防垃圾邮件引擎(基于邮件内容)。具体如下图。
第一层SensorBase信誉过滤器,针对TCP连接过程,从邮件的源头如发件人的源IP地址、发件人所在地区、发件人的信誉度来对邮件进行拦截过滤,在这一层的过滤当中能做到拦截90%的垃圾邮件。
第二层IPAS(IronPort Anti-Spam)防垃圾邮件引擎,针对邮件内容进行深度扫描和过滤,这一层的过滤能够拦截超过98%的垃圾邮件,并且能够将垃圾邮件的误判率控制在低于百万分之一的水平,为业界最高水平。
SensorBase是全球最大的信誉数据网络,其数据来源如下图。
数据来源主要包括:
1 通过和大的邮件运营商合作,共享获得他们的邮件过滤日志,IronPort通过专门的数据引擎对日志信息进行分析和评定。
2 Spam Traps探针邮箱,探针邮箱通常是通过合作伙伴、邮件运营商建立的。探针邮箱能捕获那些不请自来的邮件,这些邮件99%以上都可以确定为垃圾邮件。通过这些捕获的垃圾邮件来分析邮件的发送源头。
3 根据常见的传统的黑白名单(Blacklists & Whitelists)提供的信息数据,并结合其他参数作进一步分析。
4 合作伙伴和用户,用户可能会愿意分享他们过滤到的垃圾邮件信息。
以上这些都使SensorBase的过滤效果大大提高,全球超过30%的邮件都能在SensorBase信誉网络中侦测到,SensorBase信誉数据网络也是目前最大的信誉数据网络。
IronPort开发信誉过滤技术的原因
在TCP层对邮件进行过滤可以从邮件的源头进行判定,在源头拦截大部分的垃圾邮件,之后再结合邮件内容的深层过滤,可以提高垃圾邮件的识别率、大大降低邮件的误判率,并且可以节省设备的硬件需求,降低CPU资源的占用。因为在复杂的内容过滤器中采用严格的过滤策略时,会带来邮件误判的风险,并且内容过滤规则会占用较多CPU资源,对硬件配置要求高。
SensorBase信誉过滤
SensorBase信誉过滤可以确保非常精确的过滤。在对发件人的IP地址评分的时候,SensorBase信誉过滤采用120多个参数,结合数据分析/评分模型,得出IP地址的信誉评分,评分在-10(最差)到10(最好)之间。如下图。
有了IP地址的信誉评分,就可以根据其分值对其发送的邮件应用不同的策略:拦截、接收、限制等。这跟传统的黑名单策略相比有类似的地方,但也存在很大的不同并具有更多的优越性。在黑名单策略中一个IP地址的判定结果非黑即白,处理结果则只能是拦截或放行。但在很多情况,发件人IP地址可能介于黑白之间,即所谓的“灰名单”,需要根据具体的情况作相应的处理。IP地址信誉得分的分段设置策略很好的处理了这种问题,如下图。
图中的各种策略内部都有几十个参数,如在策略当中可以对邮件的连接速率、并发连接数、邮件大小、邮件的收件人数等进行限制。
在Cisco ESA系统中,采用的是专用的AsyncOS系统,硬件上采用的是多处理器的邮件架构,产品从C600(双CPU)、C650(四个CPU)发展到现在的C660(八个CPU)。在专用的AsyncOS系统中,对CPU的利用做了特别的优化。传统的多核处理,处理数据时会先选择使用多个CPU中的一个,而优化后,处理任务会均分到各CPU中,这样可以很大程度上避免某一CPU出现过载的情况,加过整体上的处理速度,如下图。
不同的硬件型号的配置也不一样,但它们在处理功能上都相同。各型号的具体配置如下图,其中X1060是针对超大型用户设置的型号。
作为专用的邮件安全网关,Cisco IronPort没有设计成传统的安装于通用操作系统上的软件形式,而是采用专用的操作系统AsyncOS。AsyncOS系统是一个非常精致、强悍的操作系统,它唯一能做的就是MTA(Mail Transfer Agent 邮件传输代理),专门针对邮件进行处理,与邮件处理无关的任何Internet进程在其中都不存在。AsyncOS系统中最大的并发处理数可以做到10000个,而即使做过优化的通用操作系统因为受限于其通用性而很难做到这样。
AsyncOS系统针对邮件传输的特点专门设计了无堆栈线程调度技术。了解操作系统的人都知道,在通用的操作系统中的进程调度都是采用堆栈技术,堆栈技术中有大量的场景计算和现场保护工作,将消耗大量CPU资源。AsyncOS系统还采用了快速的内存访问技术,设计了超大队列存储空间。
邮件传输的特点是,传输文件可能有几十万上百万的数量,但文件大小平均下来可能只有几十K,传输中的频繁IO操作会给系统带来很大的性能瓶颈。针对邮件传输的这种特点,AsyncOS系统专门设计了AsyncFS文件系统来解决上述问题。
AsyncOS系统在邮件投递过程中采用了多队列投递方式,根据邮件接收方的域名不同采用不同的队列。采用这种方式时,如果某一队列在投递的过程中出现了问题,它不会对其他的队列投递造成影响。
AsyncOS系统概况如下图。
在IronPort邮件网关中,设计了专门的接收器(Listeners)。接收器是一个后台运行的SMTP(Simple Mail Transfer Protocol 简单邮件传送协议)服务进程,用来处理SMTP的连接请求,使用TCP Port 25,运行接收器之后即可对邮件进行接收和处理。接收器有两种类型:Public和Private。两种类型分别针对邮件的接收和外发,接收来自Internet的邮件时使用Public类型接收器,从内部的邮件服务器转发到邮件WEB中时使用Private类型接收器。Public类型接收器对接收邮件要进行HAT表和RAT表的检查,Private类型接收器对外发的邮件要进行HAT表的检查。
IronPort邮件网关中可以配置多个网络接口和多个接收器,这样就可以提供非常大的灵活性。在很多用户的网络中可能划分了非常详细的不同的网络布置,比如说inside、outside,BMZ等,这就涉及到不同的网络区段之间进行通信的问题。提供的多个网络接口,可以在不同的网络接口上配置多个IP地址,可以配置属于不同网段的IP地址,每个IP地址上再创建一个基于IP地址的接收器,这样就可以在部署环境中进行灵活的部署,不论是属于哪个网络区域。
在SMTP客户端,以SMTP方式发送邮件时需要对邮件做身份验证,一般来说这个身份验证过程是由邮件服务器来完成的,而IronPort邮件网关也可以承担邮件身份验证的功能,这样用户就可以把用户端直接指到IronPort邮件网关上来做身份验证。这种方式有两个突出的优势:一是可以大大降低客户端对邮件服务器负载的占用;另一个是把客户端发送邮件的过程变成先经过邮件安全网关对邮件地址和内容进行安全检查,这可以通过邮件信誉和内容过滤器来实现。
在邮件高安全性应用环境如银行、金融、证券、基金等行业中,对邮件的安全要求越来越高,比如在金融机构之间往来的邮件要求在发送、接收上进行加密。通常的邮件网络不支持邮件加密技术,只能要求通过邮件服务器来实现,而有了邮件安全网关则可以非常灵活的进行邮件加密。另外一方面,随着SMTP技术的发展,邮件安全网关能够针对SMTP技术本身存在的一些缺陷,提供很多的扩充解决方案,比如像SPF(Sender Policy Framework 发信人策略架构)可以对发送邮件进行数字签名,保证邮件在传输过程中不被修改和窃取。
在法规遵从性要求上,在国内或国外上市的公司都有各种各样的法规要求,如塞班斯法案,医疗保健领域的HIPAA法案等。对于非上市公司,道德上的要求不能传输含有不健康内容的邮件,一般公司制定的各种规章中很少有关于邮件使用方面的规定,但是随着邮件网络的快速发展这方面的需求将日益突出,采用邮件安全网关可以实现企业对用户使用邮件的监控,如下图。
在高可用性支持方面,IronPort邮件安全网关也做了充分的考虑。在所有的设备型号上,磁盘都采用了冗余配置的方式并且做了镜像,在通信网络接口上,采用NIC Pairing(网卡配对)方式,即便是服务现有高可用性设备也可以实现网络通信的冗余。在高可用性的应用环境中,通常部署两台或更多的设备来组成集群,可以避免因一台设备出现故障导致系统瘫痪,通过增加多条MX记录、采用四层交换机可以实现负载均衡。IronPort邮件安全网关支持很多的技术,应用灵活,所以高可用性是它的一个比较大的亮点。
用户在IronPort邮件安全网关使用过程中会希望了解设备的使用状态,包括垃圾邮件、病毒邮件数,正常邮件数,哪些用户发送邮件量排名靠前,邮件发送到的域名有哪些等。通过IronPort邮件安全网关可以很容易的记录下上面的这些数据,邮件管理员或企业IT负责人可以通过这些数据来了解邮件使用的整体情况。部署多台设备时还可以提供集中的报表管理,这时候可以通过集群的管理方式把所有的报表信息集中到一台设备上来进行管理,这台设备简称为SMA(Security Management Appliance),集中报表反映了企业完整的报表数据。集中报表和数据跟踪示意图如下。
IronPort邮件安全网关支持独立配置和集中配置管理,无需额外的服务器或软件支持。在部署了多台设备的环境中,所有设备加入一个预先设置的Cluster(集群)中,其中的一台设备定义为Console(控制台)做主控端,在配置设备时只需要在主控设备上完成配置,配置设置就会自动下发到Cluster中的其他设备上。在设备较多,分支机构较多,经常修改配置策略的环境中,这种集中配置方式就非常有用,能大大提高管理员的工作效率,提高准确性。集中配置管理示意图如下。
一封邮件从互联网先进入到邮件网关,经网关处理之后便进入到邮件服务器中,在邮件网关中的处理过程称为邮件管道。邮件管道的处理过程包括六个步骤,如下图。
六个步骤依次为:信誉过滤器,邮件过滤器,垃圾邮件过滤器,病毒邮件过滤器,内容过滤器,未知病毒爆发过滤器(VOF)。
信誉过滤器通过SensorBase数据库检查发件人的IP地址的信誉评分,将具有相近评分的发件人划归到某个发件组,再将邮件流策略应用到相应的发件组,恶意发件人直接拒绝。
IronPort信誉过滤器的工作过程如下图。
上图为模拟的一封邮件发送过程。假设邮件是从Internet域名outside.com发送过来,该域名的IP地址为64.12.193.85。当邮件进入到IronPort网关时,首先需要判断发件人的信誉度是多少,这时网关先在它自己的信息库中寻找有没有该IP地址的发送记录,如果没有,则通过UDP方式向SensorBase发送一个请求以获得该发件人的信誉度。在本例中的发件人的信誉度是-2.7,网关根据该信誉度确定发件人属于哪一个发件人组,图中发件人属于一个SUSPECTLIST(可疑)组,该组对应的邮件流策略为THROTTLED(限制)策略。
邮件过滤器能实现一些非常精细的邮件过滤功能如邮件退回、删除、隔离等等,也可以给管理员发送告警信。邮件过滤器(Message Filters)和后面的内容过滤器(Content Filters)在功能上有类似之处,但邮件过滤器是在Anti-Spam模块之前,它更多的是针对预先设定的策略,无论接收的邮件是何种类型都用预先策略处理。
Anti-Spam防垃圾邮件模块在前面提到是采用两层的过滤策略:基于TCP连接的信誉过滤和基于深度扫描邮件内容后的内容过滤。Anti-Spam防垃圾邮件模块采用CASE上下文自适应扫描引擎,CASE是由一个扫描引擎和规则库组成。扫描引擎负责对邮件的正文进行扫描、分析并提取特征,之后和规则库进行匹配,确定邮件是垃圾邮件的百分比,用它来和预先的阀值进行比较。CASE的规则库是自动更新的,不需要管理员的干预。CASE进行内容分析时包括四个方面:谁在发送垃圾邮件、邮件是如何构成的、邮件内容包含了哪些内容、邮件包含了哪些URL连接。
一个CASE分析垃圾邮件示意图如下。
垃圾邮件在判定和隔离时可能会采用直接删除或退件措施,但这种方式存在风险,删除不确定的邮件可能会给用户带来损失。采用隔离区策略可以很好解决隔离处理中的问题,隔离区有系统级隔离区和ISQ用户级隔离区两种,系统级隔离区存放重要的或只有管理员能查看的可疑垃圾邮件,用户级隔离区存放发送给用户的可疑垃圾邮件。用户可以对用户级隔离区自行管理,决定删除或放行邮件。在垃圾邮件非常严重的环境中,应该采用严格的过滤策略:删除确定的垃圾邮件,隔离可疑的垃圾邮件;当垃圾邮件不严重或用户认为删除邮件风险太大时应该采用保守过滤策略:对确定的和可疑的垃圾邮件都进行隔离。
在Anti-Virus防病毒邮件模块中IronPort支持多个防病毒引擎,推荐使用Sophos或McAfee引擎来扫描邮件,Sophos和McAfee能够扫描病毒、木马和蠕虫等。
内容过滤模块和邮件过滤模块在很多方面有相似之处(如前述),它可以根据邮件的信体、邮件附件内容和大小、发件人地址、收件人地址等进行过滤,过滤出的可疑邮件可以采取删除、隔离、转发、加密、给管理员发送通知信等处理措施。对于进行过加密的邮件附件,也可以对附件的内容进行过滤,这对于企业的DLP(数据泄漏保护)来说有非常好的应用意义。内容过滤规则举例如下图。
上图示例的规则是隔离包含可执行文件类型附件的邮件。邮件从外部域名(outside.com)进入到邮件网关,通过邮件网关的接收器(Listener)接收并进入邮件管道,经信誉过滤器、邮件过滤器、垃圾邮件过滤器、病毒邮件过滤器后到达内容过滤器,在内容过滤器中要对邮件附件内容进行扫描,如果附件含有可执行文件,则对邮件采取隔离。
Anti-Virus防病毒邮件模块是针对已知病毒进行过滤,当邮件当中包含未知病毒时,未知病毒爆发过滤器(VOF)将发挥作用。VOF利用了SensorBase的过滤技术,SensorBase能侦测邮件特征,如一天内的某个时段某一地区平均邮件量是10万,当有一天邮件量突增到50万时,这种情况可能由未知病毒引起,SensorBase能够分析提取出多出邮件的邮件特征,并通知邮件网关上的VOF模块处理接收到的类似特征邮件。如下图是是否采用VOF模块时受病毒感染的客户端数对照图。
图中红线是未采用VOF模块时受病毒感染的客户端数曲线,是一个正太分布曲线,最高点上的回落是在大多数客户端都更新了防病毒引擎的特征库时发生。采用VOF模块时,红色曲线上升到I点时VOF模块收到SensorBase的异常警告,处理后受病毒感染的客户端数变为蓝色曲线,感染得到及时控制。图中的表格数据是实际情况中的数据对比。
VOF工作过程示意图如下。
VOF采用临时的邮件隔离策略处理未知病毒爆发。含未知病毒的邮件过滤出之后放到临时隔离区,当防病毒引擎特征库针对该病毒做更新后即可将隔离区中的邮件取出,经重新扫描过滤后发送到客户端。VOF处理方式能做到比病毒特征库更新平均提前13小时以上。
一封邮件进入邮件网关之后需要经过多个步骤的处理,如果其中一个步骤出现问题如邮件被判定为垃圾邮件、病毒邮件等,则邮件的处理终止,邮件不会发送到收件人。对于邮件管理员或邮件用户来说,他们可能会很关心一封邮件的发送状况,邮件网关能满足这种需求,它能跟踪记录每一封邮件在邮件网关中的处理过程和处理结果。用户可以通过发件人、收件人、发件人IP地址、邮件主题、邮件发送时间段等等来查询邮件的发送状况,如下图。
邮件网关还能生成包含全部信息的全面统计报表,其中包括详细的用户活动统计,能实时显示邮件流量和威胁统计的示图,如下图。
邮件网关按照设置的邮件策略处理邮件,在应用中需要根据企业的实际需求来部署邮件策略。不同企业可能有不同的邮件安全要求,同一企业的各部门也可能有不同的邮件安全要求,如企业的市场部门和研发部门可能会有各自的要求。在设置邮件策略时可以根据发件人或收件人来设置,可设置的内容有:垃圾邮件过滤器,病毒邮件过滤器,内容过滤器,未知病毒爆发过滤器(VOF)。一个具体的邮件策略设置如下图。
邮件网关设置了邮件策略后,不同的收件人可能属于不同的邮件策略,从邮件通道上来看,邮件通道已经不再是单一的邮件处理路径了,如下图所示。
邮件过滤器(Message Filters)是在应用邮件策略之前,而内容过滤器(Content Filters)是邮件策略的可设置内容的一部分,前面说到过这两个模块在功能上有相似的地方,到现在,我们能看出在一个邮件通道中设置两个功能相似的模块的意义了:当需要对所有的邮件处理设置一个内容过滤规则时,应该在Message Filters中设置,而需要对具体收/发件人或收/发件人组设置内容过滤规则时,则应该设置邮件策略中的Content Filters部分。
定义用户分组匹配邮件策略时,可以采用如下图所示的多种策略匹配语法。
各种匹配语法有各自适合使用的地方,其中LDAPGroup:Sales形式更易于管理复杂情况。如一个销售部门,只要它在LDAP数据库中有一个属性定义表明它属于Sales分组,则在应用邮件策略时,销售部门的所有邮件用户都将划分到Sales邮件策略组,如果有一个用户从销售部门转到其它的不属于Sales分组的部门时,不需要为该用户在邮件分组策略中做更改,而只需要在他所转到部门中的邮件用户名单上添加该用户即可。
基于用户的邮件策略举例如下图。
图中有两个邮件策略分组sam@exchange.scu.com和@dev.exchange.scu.com,分别对应Sales Users Policy和Development Users Policy两个邮件策略,如图中所示,两个邮件策略在Anti-Spam、Anti-Virus、Content Filters、Virus Outbreak Filters各个步骤处理方式不相同。
DLP数据泄漏保护是现在很多企业都非常关心的问题,从数据泄漏统计(如下图)上来看,USB设备占得比重最大,其次就是邮件。
数据泄漏保护的部署和应用可以通过内容过滤规则来实现,创建一个内容过滤规则十分简单,只需要三步即可完成。IronPort网关考虑到用户的实际应用设计了很多预定义的内容分类字典,比如在一个过滤规则中需要用到的很多关键字可以放到一个字典中,该关键字字典也可以用到其他过滤规则中。
创建内容过滤规则时,需根据企业或部门的业务特点确定敏感内容,然后利用关键字来跟踪敏感内容,下图是内容过滤规则应用示例。
从外部域名Exchange.charlie.com发送到人力资源部门的邮件在进入邮件网关后,当它通过网关中的内容过滤器(Content Filters)时,内容过滤器应用内容过滤规则检查邮件主体和附件中是否含有关键字“Confidential”,如果有,则对邮件进行隔离。内容过滤器能够对邮件和邮件附件内容进行过滤,即使是加密或压缩的邮件附件也能进行内容过滤。
为外发邮件建立邮件策略并进行验证的步骤如下
1 创建一条内容过滤规则:
2 选择过滤条件和执行动作:
3 将过滤规则应用到邮件策略:
4 用Trace来验证过滤规则:
上图中的消息体可以输入包含规则或不包含规则的内容来验证过滤规则是否有效。
内容过滤规则统计报表如下图所示。
图中显示了与各接收/发送邮件内容过滤规则匹配的邮件数量排名,匹配数量越多则表明该内容过滤规则应用越频繁,因此可按匹配邮件数量确定规则优先级。点击规则名称可查看被过滤规则匹配的邮件的详细信息,如下图。
上图中有可选择的时间范围,可按时间查看或按匹配次数查看,跟踪其变化趋势。点击图中邮件用户可查看该用户被过滤规则匹配的详细信息,如下图。
图中包含了该用户与各种接收/发送邮件过滤规则的匹配数量,点击规则名称则可返回按过滤规则统计的页面。
IronPort邮件网关采用PXE加密技术,在邮件发送出网关之前直接对邮件正文进行加密处理。PXE加密技术能够实现自动的密钥管理,收件人无需安装客户端软件,收件人的邮件系统可以是公司内部的、可以是免费使用的等等。IronPort邮件加密发送和接收示意图如下。
加密/非加密邮件的发送流程如下图。
当一封外发邮件从邮件服务器进入到IronPort邮件网关后,IronPort邮件网关判定该邮件是否需要进行加密处理,不需要加密则直接发送出去,需要加密则在网关中对邮件正文加密,加密处理之后会产生一个加密密钥。密钥和邮件是分开处理的,它将保存在密钥服务器中,密钥服务器可能在网关中的独立设备或第三方的托管设备中。当加密邮件发送到收件人时,邮件会提示收件人去提取密钥,收件人通过验证获取密钥即可解密邮件。
邮件的加密配置非常灵活,可以在发送端决定邮件是否需要加密。发送端可以根据发件人、收件人、邮件主题、邮件内容等进行灵活的定义。IronPort邮件网关还可以为主流的客户端邮件软件如Outlook等添加插件,通过插件可方便的进行邮件加密发送。
IronPort邮件网关中的PXE加密技术还可以实现邮件召回。一封邮件如果发送到了错误的收件人,在收件人还未解密邮件时可以通过锁定密钥来实现邮件的召回,锁定密钥后收件人便不能解密邮件了。IronPort邮件网关提供的邮件跟踪与召回操作界面如下图。
