/ 中存储网

实用技巧之在Exchange 2007通过发件人信誉来过滤垃圾邮件

2014-08-28 23:44:08 来源:中存储网
如果要问企业邮箱管理员,什么是让他们最头疼的问题?垃圾邮件肯定是名列前茅。虽然现在有很多针对垃圾邮件的措施,如收件人筛选、发件人ID、垃圾邮件筛选器列表集合等等。但是道高一尺、魔高一丈,仍然无法杜绝垃圾邮件的入侵。

微软在这方面也做出了不少的努力。如在Exchange2007中提出了发件人信誉级别的功能。通过这个功能,虽然不能够从根本度杜绝垃圾邮件,但是仍然可以大幅度的减少垃圾邮件的数量。

  一、如何确定发件人的信誉级别?

发件人信誉功能简单的讲,就是根据历史数据给发件人的邮箱地址、IP等等来评一个等级。如果等级差的话,那么就很有可能被拉入黑名单。故发件人信誉级别要在发垃圾邮件中有所表现,其关键就在于如何确定发件人的信誉级别。对于Exchange2007来说,主要从如下几个层面来确定发件人的信誉级别。

一是通过反向的DNS查找。也就是说,邮箱服务器可以验证发件人传输邮件的原始IP地址是否与发件人在helo或者EHLO SMTP名列中提交的已注册域名向匹配。主要是为了避免他人冒用合法的邮件地址来发送垃圾邮件。发件人信誉功能通过将原始的IP地址递交给DNS服务器来执行反向的DNS查询。DNS服务器会返回一个结果,这个结果就是使用这个IP地址的域名机构注册的域名。然后服务器会将DNS返回的域名与发件人在Helo命令中提交的域名进行比较。如果域名不匹配的话,则这个发件人很可能就是垃圾邮件的始作俑者。在实际工作中,这个反向DSN查找比较有用。用户平时的垃圾邮件有不少都是域名很熟悉的邮件地址。其实这有两种可能。一是发件人的邮箱可能中了病毒,不断的自动发送垃圾邮件;二是发件人的域名或者地址被冒用来发送垃圾邮件。通过反向DNS查找,一般不能够解决垃圾邮件的问题,。不过对于垃圾邮件冒用的问题,则可以有效的解决。

二是通过发件人开放代理测试来确定发件人信誉级别。开放代理实质上是一种代理服务器,接受任何人从任何位置发出的连接请求,并转发相关的通信。但是开放代理服务器存在比较大的安全隐患。如在大部分情况下,开发代理的日志记录都不是很齐全。这就为攻击者提供了一种比较好的攻击渠道。其可以在开放代理服务器中隐藏其真实身份并发起拒绝服务攻击或者发送垃圾邮件。在这种情况下,因为其有一个“合法”的身份,为此很难为企业的防火墙所拦截。因为攻击者可以将多个开发代理服务器一起使用,从而实现隐藏发件人原始IP地址的目的。如此的话,IP过滤等防火墙策略将失效。发件人开发代代理测试主要就是用来解决这个问题。特别是针对恶意特洛伊木马程序特别有效。

除了以上这些手段之外,发件人信誉服务还可以通过对来自特定发件人的邮件分析、Helo/Ehlo分析等手段来确定发件人的信誉。总之,Exchange2007的发件人信誉级别服务综合了多种反垃圾邮件技术,从一个比较高的层面来拦截与过滤垃圾邮件。

 二、如何选定判断的标准?

如上所述,在发件人信誉级别服务中,管理员可以根据需要来选择所需要的判断标准。那么该如何选择呢?这是发件人信誉级别设置中的关键。笔者认为,在选择标准的时候,要遵循两个基本的原则。一是要全面,二是要按需选择。

由于不同的判断标准或者信息来源其往往有不同的侧重点。如反向DNS查找主要用来解决域名被冒用的问题;而开发代理测试则主要用来解决木马攻击等问题。如果管理员只选择其中的一项标准,那么就可能会有所遗漏,从而给攻击者有机可乘。故在选择的评价标准的时候,要尽量的全面。

除了全面之外,还需要根据企业的实际部署环境来进行按需选择。如企业已经从内到外,部署了比较安全的防毒、仿木马体系。此时在邮箱服务中如果再部署单独的仿木马相关服务,就有点重复投资的味道。其不但会影响到服务器的性能,甚至可能跟企业原有的安全体系产生冲突。所以在考虑全面的同时,也需要关注安需选择。评判的标准并不是越多越好。

 三、启用发件人信誉级别需要注意哪些内容?

虽然说发件人信誉级别是一个相对可靠的垃圾邮件过滤服务。但是其毕竟只是一个应用程序,而没有到完全智能的程度。其效果好不好,还要看管理员如何管理的。笔者认为,在启用发件人信誉级别服务的时候,需要注意如下几个问题。

一是对于其判断的垃圾邮件,最好选择为隔离,而不是拒绝。发件人信誉级别服务如果判断某个发件人地址或者域名可能为垃圾邮件的始作俑者,那么就会采取相关的策略。管理员在决定这个策略的时候,最好选择隔离,而不是选择拒绝。因为发件人信誉级别的判断并不能够100%的准确。特别是企业有些业务伙伴其购买的邮箱域名可能不怎么正规或者已经上了黑名单,那么其发送过来的邮件就会被误认为垃圾邮件。这种情况下,如果采用拒绝策略的话,那么用户将无法采取任何的弥补措施。相反,如果采区隔离的话,还有可以挽救。如当用户反应收不到某个合作伙伴的邮件,则用户可以提供其邮件地址。然后管理员可以从隔离区中查看是否有这方面的邮件。如果有的话,可以将其恢复,并将其邮件地址或者域名设置为比较高的信任级别。为了安全起见,不光光是发件人信誉级别有这方面的要求,其实其他的垃圾邮件过滤策略也需要有这方面的考虑。到目前为止,还没有那一家厂商可以拍拍胸脯保证自己的反垃圾邮件技术不会误判。

二是需要注意,在部署的时候要了解其生效的位置。通常情况下,发件人信誉只能够部署在Exchange 2007的边缘传输服务器角色上。或者说,部署在这个位置其能够起到更好的反垃圾邮件的功能。此时发件人信誉可以根据发件人的多向特征来尽可能多的阻止垃圾邮件。不过有一点需要提醒,刚部署这个服务的时候,可能效果并不是很好。但是时间用的长了,其效果会有明显的改善。这主要是因为系统在评价发件人信誉的时候,需要历史数据。历史数据越多,其评判的标准准确性就会高许多。在实际工作中,在边缘传输服务器上配置反垃圾邮件代理之后,一开始仍然会有比较多的垃圾邮件。但是垃圾邮件会逐渐减少。也就是说这个边缘传输服务器对邮件执行的操作会逐步减少未经请求而进入组织的邮件数量。所以一开始反垃圾邮件的效果不好,管理员不要灰心,要给其一定的时间。通常情况下,一个月左右的时间,企业的垃圾邮件数量可以明显减少。

三是发件人信誉级别可以跟其他的一些反垃圾邮件策略一起使用。如邮箱管理员经过几年的管理,已经掌握了一份常发垃圾邮件的IP地址或者域名。在使用Exchange2007的时候,仍然可以直接使用。从而可以避免在发件人信誉级别刚启用的那一段真空时期垃圾邮件比较多的问题。不过多个垃圾邮件策略一起使用的时候,需要测试他们之间是否有冲突。