電子郵件系統(tǒng)安全策略

 第一層防御——包過濾防火墻：是能夠保護(hù)底層網(wǎng)絡(luò)的最佳防護(hù)層，并且對基于網(wǎng)絡(luò)的應(yīng)用程序提供了關(guān)鍵性的防護(hù)。這種類型的防火墻可以配置為只允許特 定類型的入站數(shù)據(jù)包發(fā)送到防火墻保護(hù)下的內(nèi)部主機(jī)的指定端口上。例如，在防火墻上可能會配置允許TCP端口25上的入站數(shù)據(jù)包到DMZ郵件服務(wù)器，以及 TCP端口80和443上的入站數(shù)據(jù)包到DMZ Web郵件服務(wù)器上。

第二層防御——電子郵件防火墻，它是應(yīng)用程序級的防火墻。這種類型的防火墻工作在協(xié)議棧的更高級別。它不僅了解SMTP傳輸，而且還可以通過掃描每 封郵件的表面和內(nèi)容來檢測垃圾郵件、釣魚式攻擊和病毒的威脅。電子郵件防火墻通常能夠非常牢固地防御基于SMTP的攻擊（例如緩沖區(qū)溢出攻擊），所以 DMZ郵件服務(wù)器對于此類攻擊不容易受到威脅。電子郵件防火墻會保護(hù)電子郵件系統(tǒng)（也就是提供郵件服務(wù)的計算機(jī)系統(tǒng)），使內(nèi)部用戶免受信箱中有害郵件的威 脅。

要注意的是電子郵件防火墻必須提供更加全面的反病毒能力，這樣才能對已知或未知病毒提供有效的防護(hù)。許多反病毒軟件都是被動式的，然而，由于目前病 毒的傳播過于迅猛并且許多病毒都具有多種形態(tài)，被動式的防御已經(jīng)不能滿足需要了。反病毒軟件還必須能夠提供啟發(fā)式掃描，這也就意味著它能夠根據(jù)關(guān)鍵性特征 來識別出病毒而不需要知道確切的特征。雖然被動式掃描還在病毒防御中占據(jù)著一席之地，但是在實(shí)時防御與零天威脅（zero-day threats）的對抗中要求反病毒軟件具有啟發(fā)式的掃描功能。

第三層的防御——正確配置的DMZ郵件服務(wù)器。這臺服務(wù)器應(yīng)該只接受目標(biāo)為它所擁有的域——也就是發(fā)給內(nèi)部用戶的郵件。此法可以防止垃圾郵件發(fā)送者 利用郵件服務(wù)器為垃圾郵件進(jìn)行中繼。DMZ郵件服務(wù)器應(yīng)該非常堅(jiān)固，這樣才能夠使那些越過電子郵件防火墻的郵件攻擊（例如那些電子郵件防火墻接受并傳遞到 DMZ郵件服務(wù)器上的無效郵件）無法得逞。

最后，來自其它層次的防御也會對防護(hù)有所幫助，例如入侵檢測系統(tǒng)和獨(dú)立的DMZ Web郵件服務(wù)器，因?yàn)閃eb 郵件服務(wù)器通常會運(yùn)行復(fù)雜的Web應(yīng)用程序，它們經(jīng)常會提供一個可保全內(nèi)部系統(tǒng)的攻擊路線。