Home / Malla de la Flauta de Oro / 业内动态 / 电子邮件系统安全策略

电子邮件系统安全策略

Q:应采取什么样的策略来确保电子邮件系统安全?

A:由于企业邮箱的广泛应用,电子邮件现在已经成为网络黑客的主要攻击对象。导致众多企业倍受病毒、木马程序乃至间谍软件的威胁,纷纷求助有效的全面防御策略。在此推荐一些常用的分层防御手段,有包过滤防火墙、电子邮件防火墙和非军事区(DMZ)邮件服务器。

 第一层防御——包过滤防火墙:是能够保护底层网络的最佳防护层,并且对基于网络的应用程序提供了关键性的防护。这种类型的防火墙可以配置为只允许特 定类型的入站数据包发送到防火墙保护下的内部主机的指定端口上。例如,在防火墙上可能会配置允许TCP端口25上的入站数据包到DMZ邮件服务器,以及 TCP端口80和443上的入站数据包到DMZ Web邮件服务器上。

第二层防御——电子邮件防火墙,它是应用程序级的防火墙。这种类型的防火墙工作在协议栈的更高级别。它不仅了解SMTP传输,而且还可以通过扫描每 封邮件的表面和内容来检测垃圾邮件、钓鱼式攻击和病毒的威胁。电子邮件防火墙通常能够非常牢固地防御基于SMTP的攻击(例如缓冲区溢出攻击),所以 DMZ邮件服务器对于此类攻击不容易受到威胁。电子邮件防火墙会保护电子邮件系统(也就是提供邮件服务的计算机系统),使内部用户免受信箱中有害邮件的威 胁。

要注意的是电子邮件防火墙必须提供更加全面的反病毒能力,这样才能对已知或未知病毒提供有效的防护。许多反病毒软件都是被动式的,然而,由于目前病 毒的传播过于迅猛并且许多病毒都具有多种形态,被动式的防御已经不能满足需要了。反病毒软件还必须能够提供启发式扫描,这也就意味着它能够根据关键性特征 来识别出病毒而不需要知道确切的特征。虽然被动式扫描还在病毒防御中占据着一席之地,但是在实时防御与零天威胁(zero-day threats)的对抗中要求反病毒软件具有启发式的扫描功能。

第三层的防御——正确配置的DMZ邮件服务器。这台服务器应该只接受目标为它所拥有的域——也就是发给内部用户的邮件。此法可以防止垃圾邮件发送者 利用邮件服务器为垃圾邮件进行中继。DMZ邮件服务器应该非常坚固,这样才能够使那些越过电子邮件防火墙的邮件攻击(例如那些电子邮件防火墙接受并传递到 DMZ邮件服务器上的无效邮件)无法得逞。

最后,来自其它层次的防御也会对防护有所帮助,例如入侵检测系统和独立的DMZ Web邮件服务器,因为Web 邮件服务器通常会运行复杂的Web应用程序,它们经常会提供一个可保全内部系统的攻击路线。