现在网络中,每天针对各种应用和服务的攻击成千上万,那么企业应该怎么样规划和部署我们的邮件系统?在部署中我们该采取一些什么样的安全策略呢我在规划电子邮件安全策略时应采取什么样的措施来确保安全?
由于邮件服务应用对外开放,那么邮件系统必然会受到病毒邮件、木马程序邮件乃至间谍软件的威胁,再加上电子邮件系统现在已经成为了主要的攻击目标,许多企业组织已经将邮件安全攻击,放在防御的首位,并且采取多层的防御手段来保护我们的邮件系统的安全,避免因邮件数据的泄露和丢失造成企业不必要的损失。这些分层的防御手段主要有包过滤防火墙、反垃圾邮件网关和非军事区(DMZ)邮件服务器。
第一层专业的防火墙数据过滤——能够保护基于底层网络的攻击,如DDOS、端口扫描这些三四层的攻击。并且对基于网络的应用程序提供了关键性的防护——这就是防火墙过滤。企业可以防火墙可以配置为只允许特定类型的入站数据包发送到防火墙保护下的内部主机的指定端口上。也就是通常所说的开启防火墙的ACL。如在防火墙上可以直接只允许TCP端口25上的入站数据包到DMZ邮件服务器,以及TCP端口80和443上的入站数据包到DMZ Web邮件服务器上(同时要做好端口的映射)。具体的开放的端口,可能因为邮件系统提供的应用服务不同,还需要开放其他不同的端口。
第二层专业的反垃圾邮件网关——能够保护基于邮件系统应用层攻击。我们都是传统防火墙是基于网络层的保护。但我们的邮件服务器25端口任然在对外提供服务,任然有大量的垃圾邮件发往我们的邮件服务器。这种基于应用层的攻击传统防火墙是根本无法阻挡的。反垃圾邮件防火墙工作在协议栈的更高级别。它不仅了解SMTP传输,而且还可以通过扫描每封邮件的表面和内容来检测垃圾邮件、钓鱼式攻击和病毒邮件的威胁。反垃圾邮件网关通常能够非常牢固地防御基于SMTP的攻击(例如缓冲区溢出攻击),所以DMZ邮件服务器对于此类攻击不容易受到威胁。反垃圾邮件网关会保护电子邮件系统(也就是提供邮件服务的计算机系统),使内部用户免受信箱中有害邮件的威胁。同时保护邮件系统免受每天几十、上百万封垃圾邮件的攻击,防止因为处理大量的垃圾邮件而造成邮件系统资源枯竭出现宕机或者停止邮件服务。
要注意的是反垃圾邮件网关必须提供更加全面的反病毒能力,这样才能对已知或未知病毒提供有效的防护。许多反病毒软件都是被动式的,然而,由于目前病毒的传播过于迅猛并且许多病毒都具有多种形态,被动式的防御已经不能满足需要了。反病毒软件还必须能够提供启发式扫描,这也就意味着它能够根据关键性特征来识别出病毒而不需要知道确切的特征。虽然被动式扫描还在病毒防御中占据着一席之地,但是在实时防御与零天威胁(zero-day threats)的对抗中要求反病毒软件具有启发式的扫描功能。
第三层的防御来自正确配置的DMZ邮件服务器。这台服务器应该只接受目标为它所拥有的域——也就是发给内部用户的邮件。此法可以防止垃圾邮件发送者利用邮件服务器为垃圾邮件进行中继。DMZ邮件服务器应该非常坚固,这样才能够使那些越过反垃圾邮件网关的邮件攻击(例如那些反垃圾邮件网关受并传递到DMZ邮件服务器上的无效邮件)无法得逞。
最后,来自其它层次的防御也会对防护有所帮助,例如入侵检测系统和独立的DMZ Web邮件服务器,因为Web 邮件服务器通常会运行复杂的Web应用程序,它们经常会提供一个可保全内部系统的攻击路线。
更多反垃圾邮件网关和邮件系统部署知识请登录:http://www.cdcy-mail.com
更多邮件系统、反垃圾邮件网关、邮件归档、负载均衡、web应用防火墙、上网行为管理等产品的介绍请登录公司产品中心了解详情。
本文由:知识园地于(2011-11-22)发表了关于企业应该如何去部署一套安全的电子邮件系统的文章 。如转载请注明出处:http://www.cdcy-mail.com如果您对此感兴趣,可以通过以下联系方式与我们联系:
