電子郵件系統安全策略

Administrator User

2022.07.04 8:51 am

Q：應采取什么樣的策略來確保電子郵件系統安全？

A：由于企業(yè)郵箱的廣泛應用，電子郵件現在已經成為網絡黑客的主要攻擊對象。導致眾多企業(yè)倍受病毒、木馬程序乃至間諜軟件的威脅，紛紛求助有效的全面防御策略。在此推薦一些常用的分層防御手段，有包過濾防火墻、電子郵件防火墻和非軍事區(qū)（DMZ）郵件服務器。

第一層防御——包過濾防火墻：是能夠保護底層網絡的最佳防護層，并且對基于網絡的應用程序提供了關鍵性的防護。這種類型的防火墻可以配置為只允許特定類型的入站數據包發(fā)送到防火墻保護下的內部主機的指定端口上。例如，在防火墻上可能會配置允許TCP端口25上的入站數據包到DMZ郵件服務器，以及 TCP端口80和443上的入站數據包到DMZ Web郵件服務器上。

第二層防御——電子郵件防火墻，它是應用程序級的防火墻。這種類型的防火墻工作在協議棧的更高級別。它不僅了解SMTP傳輸，而且還可以通過掃描每封郵件的表面和內容來檢測垃圾郵件、釣魚式攻擊和病毒的威脅。電子郵件防火墻通常能夠非常牢固地防御基于SMTP的攻擊（例如緩沖區(qū)溢出攻擊），所以 DMZ郵件服務器對于此類攻擊不容易受到威脅。電子郵件防火墻會保護電子郵件系統（也就是提供郵件服務的計算機系統），使內部用戶免受信箱中有害郵件的威脅。

要注意的是電子郵件防火墻必須提供更加全面的反病毒能力，這樣才能對已知或未知病毒提供有效的防護。許多反病毒軟件都是被動式的，然而，由于目前病毒的傳播過于迅猛并且許多病毒都具有多種形態(tài)，被動式的防御已經不能滿足需要了。反病毒軟件還必須能夠提供啟發(fā)式掃描，這也就意味著它能夠根據關鍵性特征來識別出病毒而不需要知道確切的特征。雖然被動式掃描還在病毒防御中占據著一席之地，但是在實時防御與零天威脅（zero-day threats）的對抗中要求反病毒軟件具有啟發(fā)式的掃描功能。

第三層的防御——正確配置的DMZ郵件服務器。這臺服務器應該只接受目標為它所擁有的域——也就是發(fā)給內部用戶的郵件。此法可以防止垃圾郵件發(fā)送者利用郵件服務器為垃圾郵件進行中繼。DMZ郵件服務器應該非常堅固，這樣才能夠使那些越過電子郵件防火墻的郵件攻擊（例如那些電子郵件防火墻接受并傳遞到 DMZ郵件服務器上的無效郵件）無法得逞。

最后，來自其它層次的防御也會對防護有所幫助，例如入侵檢測系統和獨立的DMZ Web郵件服務器，因為Web 郵件服務器通常會運行復雜的Web應用程序，它們經常會提供一個可保全內部系統的攻擊路線。