IronPort C-Series邮件安全网关
技术建议书
IronPort Systems
2007年1月
目录
1 . 简介 (3)
2 . 垃圾邮件的现状 (5)
2.1 什么是垃圾邮件 (5)
3 . 目前的几种反垃圾邮件技术 (6)
4 . 传统技术的缺陷 (7)
5 . IronPort安全邮件网关的技术特点 (8)
5.1 专用的MTA平台AsyncOS? (8)
5.1.1 无堆栈线程 (8)
5.1.2 输入输出调度机制 (9)
5.1.3 AsyncFS文件系统 (9)
5.1.4 防邮件攻击 (10)
5.1.5 DomainKeys技术 (11)
5.1.6 Bounce Verification退信校验 (12)
5.2 反垃圾功能(Anti-Spam) (13)
5.2.1 SenderBase 名誉得分过滤技术 (13)
5.2.2 深层内容过滤技术 (14)
5.2.3 基于上下文分析的扫描引擎(CASE) (14)
5.2.4 图片垃圾邮件过滤技术 (14)
5.3 邮件通道控制 (15)
5.4 邮件流量监控 (15)
5.5 高性能 (16)
5.6 别名功能 (16)
5.7 防病毒技术 (16)
5.8 VOF主动式病毒预防技术 (16)
6 . 系统介绍 (16)
6.1 网络结构 (17)
6.2 工作原理 (17)
6.2.1 SendBase & IronPort Reputaiton Filter (18)
6.2.2 IronPort 内容过滤(Message Filter) (19)
6.2.3 深层内容过滤技术 (20)
6.2.4 Anti-Virus技术 (20)
6.2.5 VOF技术 (21)
7 .IronPort C-SERIES 与其他反垃圾技术的比较 (22)
1 .简介
IronPort公司作为全球邮件安全的技术领先者,在垃圾邮件(anti-spam/anti-virus)的防护领域,具有无与伦比的技术优势。IronPort的C-Series 系列产品专门为大中型企业、电信运营商、企业用户设计,提供了一个软硬一体的产品。
IronPort成立于2000 年,总部设在美国加州San Bruno,每季度的销售量增长为50%。被Focus杂志评价为: 建设全球最可靠、最高性能的电子信息架构的公司。IronPort的技术专注于邮件增值服务市场,主要的产品是专用MTA服务器和反垃圾邮件服务器。
IronPort公司的C-Series邮件安全网关的客户,遍布全球,其中包括著名的ISP、银行和企业:
2 .垃圾邮件的现状
对于广大的Internet用户来说,每天不请自来出现在自己邮箱里的“垃圾”除了删除还是删除,除了让你觉得厌烦外,还浪费大量的邮件下载时间和带宽。另一方面,垃圾邮件的泛滥也严重损害了电子邮件服务供应商的服务质量和正常业务(例如商业广告)开展。更严重的是,伴随垃圾邮件传播的色情和政治反动内容正在造成无法估量的社会影响。根据IDC的统计,现在全球每天60%的邮件被认为是垃圾邮件。
2.1什么是垃圾邮件
2000年8月,中国电信制定了垃圾邮件处理办法,并将垃圾邮件定义为:向未主动请求的用户发送的电子邮件广告、刊物或其他资料;没有明确的退信方法、发信人、回信地址等的邮件;利用中国电信的网络从事违反其他ISP的安全策略或服务条款的行为;其他预计会导致投诉的邮件。
2002年11月1日,由中国互联网协会、263网络集团和新浪共同发起,中国互联网协会反垃圾邮件协调小组即日在北京正式成立,国内20多家邮件服务商首批参加了反垃圾邮件协调小组。中国互联网协会在《中国互联网协会反垃圾邮件规范》中是这样定义垃圾邮件的:
所称垃圾邮件,包括下述属性的电子邮件:
(一)收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件;
(二)收件人无法拒收的电子邮件;
(三)隐藏发件人身份、地址、标题等信息的电子邮件;
(四)含有虚假的信息源、发件人、路由等信息的电子邮件。”
3 .目前的几种反垃圾邮件技术
?客户端过滤
普通用户通常利用一些常见的电子邮件客户端工具的分拣和过滤功能设定一些规则,把接收下来的电子邮件进行检查和匹配,对符合垃圾邮件特征(如来自某个发件地址,主题或正文包含特定关键字)的邮件执行自动删除操作。
?客户端工具
上一种方法的缺点是电子邮件必须在下载到用户的计算机后才能进行识别和处理。这样,用户的网络资源还是会被垃圾邮件浪费掉了。加装某些客户端工具可以在一定程度上弥补这个缺点,其原理是利用邮件下载协议(POP3或IMAP4)的一些特定指令先下载邮件的头部信息进行垃圾邮件的判断和识别。
?服务器端过滤
为了尽可能避免对用户网络资源的占用和浪费,有的服务供应商提供了WebMail服务,通过WebMail可以让用户在服务器上设定一些垃圾邮件的识别和处
理规则。这样,垃圾邮件就可以在用户提取前被剔除掉了,进一步节省用户下载邮件的时间。
?防火墙
即便如此,垃圾邮件毕竟也已进入了服务供应商的系统,仍然会占用服务供应商的网络出口带宽、主机处理时间和磁盘存储资源。于是,有的服务供应商便利用防火墙来禁止部分被怀疑发送垃圾邮件的Internet主机向其发送邮件,把部分垃圾邮件完全堵塞在系统之外。
4 .传统技术的缺陷
不难看出,上述的技术方案存在着这样的一些缺陷:
?没有标准。目前中国的各个邮件服务商往往自己定义一些规则,你认为是垃圾邮件,他却不认为是垃圾邮件,严重干扰了正常邮件的发送。
?维护困难。需要手工为每台客户机或服务器分别配置垃圾邮件判别和处理规则。
?实时性差、准确性低。由于规则维护困难,所以规则更新周期很长,难以因应新出现的垃圾邮件进行适当调整。
?缺乏日志、统计和反馈机制。对于所采取的动作没有详细的日志可供查阅,也不可以对已作操作进行roll back。对于各种防范手段的成效没有统计,对当前服务情况也没有实时的统计,难以优化。
?效率低,配置大量的垃圾邮件判别和处理规则,将会严重损害电子邮件系统的性能。灵活性差,对垃圾邮件的判断依据和处理方法缺乏可调整的尺度,不能针
对本性灵活多变的垃圾邮件作出最恰当的处理。
由于这些缺点的存在,现行的技术方案还远未能抑制垃圾邮件的泛滥,在一定程度上甚至还培养了大量垃圾邮件发送工具软件的成长,使得垃圾邮件的特征变得越来越模糊而难以判别。
5 .IronPort安全邮件网关的技术特点
IronPort邮件安全服务器C SERIES安装在防火墙和服务器群之间,为进入和发出的邮件提供过滤和保护。作为世界上拥有最高性能的网关平台,IronPort C SERIES为客户的邮件流量管理提供统一简单的使用界面。
5.1 专用的MTA平台AsyncOS?
传统的操作系统使为一般多功能作业而设计的。与其他应用不同,邮件安全网关有它的特殊要求,而传统的操作系统不能完全满足这种要求。
IronPort通过硬件/软件的高度整合,设计开发了专用的MTA系统平台:AsyncOS操作系统。这个系统是基于FreeBSD的内核,所有与邮件无关的服务模块被清除掉,并针对邮件业务的特点,专门开发了多项安全技术,大大提高了系统的高性能,高可靠性和安全性。
5.1.1无堆栈线程
在传统操作系统平台,每个线程都会被分配到特定的内存堆栈(memory stack)。由于处理堆栈溢出错误(stack overflow error)是非常困难的,加上堆栈溢出(stack overflow)很容易构成安全漏洞,因此系统一定会分配较多的系统资源给堆栈,这样一来大量的内存很快就被用光。
AsyncOS的无堆栈线程技术的独特之处在于它只在需要的时才会分配内存空间,而不需要专用堆栈。这用高效率的内存使用政策不单只可以使并发线程的数量倍增,而且可以腾出更多的内存空间给文件系统的缓存,并可消除安全漏洞及堆栈溢出所致使的系统故障。
AsyncOS基于无堆栈线程技术,提高了系统的连接数,最高达到10,000个并发连接数,传统的MTA系统不超过400个连接数,是传统MTA平台的10-20倍以上。
5.1.2输入输出调度机制
AsyncOS系统基于I/O的需要而对系统资源进行调度。在传统的系统平台,多任务优先级抢占机制(preemptive multitasking operating system)把系统控制按时段分配给每个任务。这种轮流调度机制确保每一项任务都会获得分配CPU的某一预定时段。这种方式用于邮件文件传送的话,效率是非常低的。每次中央处理器执行一个新的任务时,都要消费资源进行上下文的交换(context switch)。而对于邮件信息这种应用的特点是,文件数量多,文件小,这样频繁的上下文交换对系统的性能造成了极大的影响。
基于I/O 的调度会按照TCP 连接资源来分配每项任务的读写因而大大地降低上下文交换对性能的影响。当有TCP 连接时,基于I/O 的调度会马上把系统资源分配给相关的任务直至连接不能再进行I/O 为止。这样一来,AsyncOS 只会在任务能使用系统资源时才会获得分配,而不是机械式地对每项任务作出轮流调度资源分配。这也是为什么AsyncOS 在信息传送应用中的吞吐量能比传统的操作系统大10 倍。此外,由于线程转换总是发生在I/O 完成以后,线程绝对不会在操作的过程中被中断。每个线程的内存管理都被简化使效率进一步提高。
5.1.3AsyncFS文件系统
传统邮件平台面对的第二个架构的瓶颈是每个信息均需要分配一个特定的文档
以供读写及删除。当信息处理量达到每小时数以万计的时候,管理这些文档的开销会快速增长并影响到性能。有一些应用依靠复杂连结的目录树(directory trees) 来解决这个问题,但成效不显著。当信息队列变大而要管理的相关文件增加时,性能便会急速的下降甚至整个系统会停顿。而且,传统的文件系统是经过优化以容许低时延的随机的数据访问及在系统发生故障时能快速的恢复整体的数据访问。为了达到这一目的,这些文件系统会把inodes, 文件资料区块的指标储存在硬盘。因此,更新任何文件会涉及多次的硬盘访问以更新数据及inodes 的更新。
AsyncFS 是一个革命性的文件系统设计,它具有独特的数据结构专门为异步信息传送而设计。首先,信息不是个别储存而是分批储存,这样可以减少基本读写操作的次数。第二,每个控制信息传送次序的队列数据结构都会倍增。而且,这些“inode 队列” 是储存在内存而非硬盘,这更进一步减少读写的操作。异步文件系统是用于因特网信息处理的最佳系统:快速的读写而且不受队列大小的影响。快速的读写操作并没有牺牲系统安全。当系统受故障而使内存的inode 队列丢失时,AsyncFS 会从硬盘读取信息数据并同时再生内存的inode 队列以恢复信息传送。AsyncFS 不会象传统的文件系统那样需要快速随机数据访问,而且也没有相关的开销。AsyncFS 有突破性的性能并能在系统故障时保证数据的完整。
5.1.4防邮件攻击
邮件系统现在收到越来越多的邮件攻击,主要的攻击包括:
?DDos攻击
?DHA攻击(字典攻击,退信攻击)
?多重压缩攻击
?空文件攻击
?半连接攻击
这些攻击行为造成邮件系统负载过高,邮件传输延迟,邮件系统瘫痪,SMTP服务中断,甚至暴露公司用户帐号信息等。
AsyncOS作为专用MTA操作系统,具备了强大的性能和安全保护功能。通过DHA技术,与保存用户信息的LDAP服务器集成,能够迅速的发现诸如字典攻击,退信的攻击行为,在向管理员发送告警通知邮件的同时,能够自动拦截可疑的IP地址。
AsyncOS系统提供了强大的并发连接数限制,同时AsyncOS作为专业的MTA平台,最高可以支持10000个并发连接数,使传统MTA平台的10-20倍,即使在出现严重的DDos攻击的情况下,仍能够保证足够的SMTP连接供邮件收发连接使用。
AsyncOS能够针对发件方的IP地址或主机名,进行限制和拦截,主要限制策略包括:
?每个连接的最大连接数
?每封邮件的的最大收件人书
?接收的最大邮件尺寸
?单个IP的并发连接数
?每个小时的最大邮件数量
?每个小时的无效收件人数(防DHA攻击)
?发件人域名校验
?DomainKeys身份校验
?Bounce Verification退信校验
5.1.5DomainKeys技术
由于SMTP协议本身的缺陷,无法实现对发件人的身份校验,因此针对SMTP协议的补充,出现了DomainKeys技术。DomainKeys是通过在邮件中,增加数字签名的方式,确保邮件的发件方不可以伪造,同时还可以保证邮件在传输过程中不会被修改。
IronPort邮件网关能够支持DomainKey技术,具体的实现过程是:
1)在IronPort网关上根据DomainKeys算法生成一对密钥串:private key/public key;
2)将public key存放到DNS服务器上域名对应的txt字段,将private key存放到IronPort网关上;
3)当邮件经由网关外发时,网关会自动利用private key生成一个数字签名,插入到邮件的Header部分;
4)收件方接收到包含DomainKeys数字签名的邮件后,根据发件人的域名信息,从DNS服务器上找出txt字段包含的public key,然后与邮件的DomainKeys
数字签名进行校验,确认邮件的合法性和安全性。
5.1.6Bounce Verification退信校验
IronPort在解决退信攻击问题时,除了采用了LDAP检验用户名合法性的同时,还可以根据退信校验技术,发现和防止退信攻击。
退信攻击的实现过程是:
1)在所有经过IronPort网关外发的邮件,都增加一个可以退信的标签Tag;
2)当邮件由于某种原因被发件方退回时,系统去识别邮件是否存在退信的标签信息;
3)如果退信标签有效,则将邮件投递到实际的用户邮箱中,如果没有退信标签或无效,则可以将邮件删除处理。
5.2 反垃圾功能(Anti-Spam)
IronPort C-Series邮件安全网关提供业界中最有效的两层垃圾控制技术:IP连接层和内容过滤层。在IP连接层,IronPort利用独有的SenderBase Network提供独特的信誉过滤功能,在内容层,利用IronPort Anti Spam内容过滤引擎技术,提供深层内容过滤。
5.2.1SenderBase 名誉得分过滤技术
https://www.doczj.com/doc/ac11349162.html,
SenderBase名誉过滤技术的作用,就是将那些不受欢迎的来访者拒之门外。IronPort公司推出了一个电子邮件发送方IP地址的评级系统,该系统应该可以帮助互联网服务提供商确认来自负责的电子邮件服务提供商的信息。
IronPort公司的SenderBase数据库就可以对全球超过三分之一的邮件流量进行监控,并根据合作伙伴提供的邮件记录信息,分析和提取发送垃圾邮件和进行邮件攻击的IP地址,并对这些IP地址进行信誉评分,为在SMTP层限制垃圾邮件发送者,提供评定标准。
5.2.2深层内容过滤技术
深层内容过滤目前被全球认为垃圾邮件识别率最高的技术。它独有的邮件内容hash算法最大限度的降低了系统资源的占用率,使每封邮件的判断仅仅需要一个数值即可;
深层内容过滤独有的探针技术,可以随时发现全球的垃圾邮件,平均每天3万条规则的服务,充分保证了客户在第一时间自动发现全球的垃圾邮件。
深层内容过滤独有的URL过滤技术,可以发现邮件正文中包含的垃圾邮件信息的链接。垃圾邮件不能伪造的内容中,URL是不能伪造的,这就可以让我们发现邮件中的这些信息,从而识别垃圾邮件。
5.2.3基于上下文分析的扫描引擎(CASE)
IronPort的基于上下文分析的扫描引擎(CASE),是一项独特的的威胁防御技术,能够发现和防御各种混合型的威胁。CASE采用了高级的学习技术,模拟人工的逻辑分析来评估一封邮件是否是垃圾邮件。CASE能够防御传统的和复杂的zombie-based的垃圾邮件。
CASE在模拟人工的高级技术,对邮件做全文的扫描分析,着重分析四个方面的内容:谁发出的邮件,邮件中的链接指向了哪里,邮件的结构是如何构建的,邮件的正文是什么。根据以上的分析结果,做出准确判断。
5.2.4图片垃圾邮件过滤技术
IronPort Anti-Spam针对越来越多的图片垃圾邮件开发了独特的图片垃圾邮件过滤技术。
图片垃圾邮件包含了随机变化的图片信息,传统的基于文本内容的过滤技术难以识别。IronPort结合上下文分析技术的技术上,采用原始解码技术,从邮件原文中分离出来Image部分的编码,并还原为图片的二进制代码。通
过查找像素的编排模式和规律,分析颜色的异常变化,排除各种随机变化的的代码,最终识别出图片的的模版信息。经过原始解码技术过滤的图片垃圾邮件,超过90%的能够被识别和过滤。
5.3 邮件通道控制
信誉过滤功能根据发件人的信誉度自动的执行处理政策。对于信誉低的发件人,将在传输时被扼杀。
使用IronPort C SERIES可以非常容易、快速的控制邮件流量。比如,你的商业合作伙伴可以比其他客户具有不同的流量等级。根据SenderBase提供的IP 地址、域名、组织,发件人被确定分配到不同的流量策略组。
5.4 邮件流量监控
IronPort C系列提供了邮件流量的监控统计模块,邮件流量监控提供了所有流量的统计报表。可信赖的合作伙伴将在报表中很容易的配制流量规则。对于最近出现的流量变化很大的发件人,将被明显的标记出来,仅需鼠标的几次点击就可以完成分类操作。对于发送的邮件也有类似的监控,接收邮件的主机和队列将在视图中显示出来。
使用IronPort C系列监控模块,可以实时的监控到流入、流出的邮件信息,其中包括了发件人的IP地址、发件人的域,IP地址所属的组织、国家、地理位置、以及这个组织的登记信息。同时显示正常邮件的发送、接收量,发现的垃圾邮件的数量,邮件的增长率,发信IP的全球信誉得分等。
5.5 高性能
最为世界上最快的网关产品,单台C600的处理性能达到了每小时处理50万封(每封邮件15K)邮件,单台C300的处理性能为14.4万封(每封邮件15K)每小时。
5.6 别名功能
别名(alias)列表可以提供信息的路由、域名的化妆。可以隐藏内部网络的详细信息,可以为多域名提供路由。同时根据客户的不同用户数和邮件流量的不同,提供C30和C10的产品供客户选择。
5.7 防病毒技术
IronPort C系列安全网关采用欧洲著名的Sophos的防病毒技术。Sophos公司是全球最早的作防病毒的厂家。他的技术主要为ISP/ICP/Enterprise客户使用,在服务器防病毒领域具有领先的技术和市场占有率。
5.8 VOF主动式病毒预防技术
传统的防病毒技术都是被动式的,IronPort全球独有的病毒爆发预防技术,可以第一时间发现大规模的新病毒爆发,从而为客户赢得时间。
6 .系统介绍
6.1网络结构
IronPort C系列放置在用户现有的邮件服务器和网络防火墙之间。它们之间通讯的协议为标准的SMTP协议,所以不存在系统兼容的问题。同时C SERIES可以支持高可靠的双机互为备份的的要求。对于一些要求很高的客户来讲,要求几年内的服务不中断的要求,我们可以采用2台以上的C系列设备,作为一个集群提供服务。
6.2工作原理
IronPort C系列的安全邮件网关功能包括了以下的主要模块:
6.2.1SendBase & IronPort Reputaiton Filter
SenderBase:因特网领域卓越的发件人信誉度服务商,全球9000个ISP、大学和企业使用SenderBase提供的数据来判断和防御垃圾邮件。能够提供如此之大的数据统计工作,SenderBase具有独特的标准,提供了邮件发信人的全球发信量、发信数据量、网络参数包括IP地址、用来发信的IP地址、发件人所在地区等。根据这些信息,C SERIES可以得到每一封发来的邮件的源地址的实时得分(这个得分由sendbase的数据库提供)。那么管理员可以根据这些分数来判断发件人应该属于哪一个组和分配合适的邮件流量。
比如,分值在–10 到-5之间的邮件,将被拒绝;-5 到0 之间的邮件将被控制流量;0 到5 之间的邮件将给通过过滤和深层内容过滤的检查;5 到10之间的邮件将直接通过。
IronPort Reputation Filter将和Sendbase模块一起完成以上的动作配合。
6.2.2IronPort 内容过滤(Message Filter)
IronPort Message Filter可以对邮件进行信头(发件人、收件人、主题等),信体(关键字等)的过滤。对于符合条件的邮件,可以进行删除、反弹、记录、密送管理员、投递等动作。
而且IronPort 提供了一个程序化的规则编写方式,类似于C语言的表达,更符合管理员的灵活处理。下面是一个例子:
find: if ( mail-from == ‘@https://www.doczj.com/doc/ac11349162.html,’ and rcpt-to == ‘@https://www.doczj.com/doc/ac11349162.html,’)
{
log (‘find.log);
if ( body-contains(‘XXX’) )
{
drop();
}
}
?过滤的参数
?发件人邮件地址
?收件人邮件地址
?邮件主题
?X-Header
?邮件正文中的关键字
?附件类型
?附件名称
?邮件大小
?过滤动作
?修改发件人
?修改收件人
?修改主题
?删除邮件
?反弹邮件
?隔离邮件
?密送邮件给管理员
?发送警告信息给发件人、收件人、管理员
?标记邮件
6.2.3深层内容过滤技术
IronPort C SERIES结合了深层内容过滤的垃圾邮件过滤技术。借助于Ironport AsyncOS操作系统,深层内容过滤提供了高性能性和高准确性。深层内容过滤具有垃圾控制的领先技术,为众多企业和ISP提供服务。它的探针技术,是目前行业中最有效的和准确度最高的。
管理员可以有几种选择还处理被深层内容过滤发现的垃圾邮件。包括标记信头,加入X-header标记,发送警告给用户,删除或发弹这些信息,或者这些动作组合操作。深层内容过滤系统可以和IronPort C SERIES的邮件流量监控模块共享这些实时的和历史的数据和报表。
6.2.4Anti-Virus技术
Sophos公司的anti-virus技术很好的融和在IronPort 的网关中。对于发现的病毒邮件,Sophos的技术可以让管理员灵活的设置处理策略。
对于病毒邮件的处理方式,管理员可以设置:
?清除病毒
?删除邮件
安全电子邮件系统的设计与实现 摘要随着电子邮件越来越广泛的应用,电子邮件的安全性问题也越显突出,文章提出了一种提供数据加密和数字签名的安全电子邮件系统,并详细讨论了其设计与实现技术。 关键词电子邮件,MOSS,数字签名,数据加密 1 前言 近年来,伴随Internet的迅猛发展,电子邮件以其使用方便、快捷等特点已经成为Internet上最普及的应用。但是,由于电子邮件在Internet上未加任何保密措施的情况下,均以不加密的可读文件被传输,这样就存在邮件被人偷窥、篡改、截获、以及身份被人伪造等若干不安全因素,由此限制了电子邮件在重要信息传递与交换领域的应用。 目前国外已经出现了很多安全电子邮件软件,但是,由于他们对安全产品出口的限制以及国外软件可能存在“安全后门”,研制和开发具有自主知识产权的安全电子邮件软件,具有重大的政治意义和经济价值。 本文介绍的基于Windows平台上用Visual c++6.0开发的安全电子邮件系统,提供了电子邮件的保密性、完整性、不可否认性及身份认证。 2 设计与实现 本文实现的功能:收发邮件、转发邮件、答复邮件等标准邮件客户端功能;为防止邮件被窃听,自动加密邮件;防止邮件被篡改及伪冒、发送方抵赖,自动执行数字签名;为保证私钥高度安全,支持本地产生RSA密钥;地址簿除方便易用,还具有许多特殊的如公钥环管理等功能;支持从文件中导入及自动从邮件中获取公钥或数字证书;支持BIG5与GB2312的内码转换以及UUEncode编码方式;支持多帐户以及口令保护;支持拨号上网以及打印功能。 2.1 总体设计 系统有多个功能模块构成,总体结构如图1所示。 (1)个人密钥管理 个人密钥管理模块完成产生RSA密钥对、安全 地保存私钥、发布公钥、作废公钥的功能。 根据用户提供的信息(密钥长度、随机数种子、保护口令以及含用户名的基本信息),采用RSA算法生成模块产生公钥、私钥对。 图1 安全电子邮件系统结构图 采用MD5和IDEA加密算法对RSA私钥、用户口令以及随机数种子进行加密,实现安全保存。 本系统提供两种方式实现公钥的发布。一是基于信任模式下的方式:将公钥发送到文件或者通过E-mail发送;另一种是基于层次结构证书认证机构的认证方式:申请数字证书。 作废密钥也提供两种方式:本地删除和申请作废证书。后一种适用于公钥发布选择第二种方式的用户。 (2)发送邮件 发送邮件模块完成撰写邮件、格式化邮件、SMTP协议的实现功能。 撰写邮件由邮件编辑器完成。 格式化邮件严格按MIME协议来进行,对普通邮件直接发送,而对安全邮件按照MOSS协议对邮
电子邮件安全(一) 【教学目的要求】熟悉各名词、术语的含义,掌握基本概念,特别是PGP、PGP 操作描述。掌握网络安全体系结构、安全攻击方法等基本概念。 【重点】PGP、PGP操作描述 【难点】PGP、PGP操作描述 【教学方法】多媒体教学和传统教学相结合。 【课时安排】2课时 【教学过程】 【导入】E-mail 是Internet上最大的应用之一,安全电子邮件主要解决身份认证和保密性相关的安全问题。 【讲解】 安全电子邮件 涉及到的问题: 安全算法的选择 系统邮件的信息格式 如何实现认证和信任管理 邮件服务器的可靠性 应用实际例子:PGP、S/MIME等 邮件信息格式 早期只支持ASCII文本格式 随着Email的发展需要发送各种类型数据,形成了MIME (Multipurpose Internet Mail Extensions,多用途网际邮件扩展) 5.1 PGP(Pretty Good Privacy) 1.提供了一种机密性和数字签名的安全服务,广泛用于电子邮件和文件存储的安全应 用 2.选择各种经过实际验证的安全算法作为基础构件 3.将这些算法有机整合起来,形成一个通用的独立于操作系统和硬件平台的应用程序 4.是一个自由软件包(https://www.doczj.com/doc/ac11349162.html,) PGP的优势 1.免费得到, 支持多种平台(DOS/Windows、Unix、Macintosh等) 2.建立在一些经过实际验证的算法基础上(RSA、DSS、Diffie-Hellman、IDEA、3DES、 SHA-1、MD5),选用算法的生命力和安全性得到公众认可 3.应用范围极其广泛 4.不从属于任何政府机构和标准化组织 5.已经成为互联网标准文档(RFC3156) 6.免费得到, 支持多种平台(DOS/Windows、Unix、Macintosh等) 7.建立在一些经过实际验证的算法基础上(RSA、DSS、Diffie-Hellman、IDEA、3DES、
MailGateway邮件安全网关产品解决方案随着计算机技术的普遍使用,对外发送电子文档已经成为我们日常工作和生活必不可少的方式,而邮件则成为企业日常办公必需的工具,怎样有效控制邮件外发文件,防止机密数据和敏感信息二次扩散,是当今企业所面临的重大安全问题之一。 I.需求分析 1.企业应用需求 1)邮件外发附件支持自动加解密。 2)与可信任客户合作厂商邮件交流,无需审批外发附件自动解密。 3)可根据需求灵活设置外发邮件附件自动解密名单。 4)可追溯邮件外发附件自动解密记录,方便审计。 5)应用系统必须可靠易操作。 2.预期目标 对于企事业单位用户使用邮件加解密网关后,用户与可信任客户合作厂商邮件交流无需走繁琐的审批流程,提高工作效率。邮件外发自动解密名单可根据需要灵活设置,权限设置和附件外发解密记录可追溯,用户工作习惯不改变。II.解决方案 1.方案概述 针对该类需求,MailGateway邮件安全网关能够全面解决该类信息资产安全问题。 适用于任何基于TCP/IP协议的网络体系(局域网或广域网),部署方便不改变原有网络结构。以下是方案部署拓扑图:
企业内部网络企业数据中心机房 2.方案效果 运行效果如下: 1)用户在邮件外发时先经过内部邮件服务器,然后转发到MailGateway,再转发到外部邮件服务器分发最终用户;邮件接收时直接经外部邮件服务转发到企业内部邮件服务器分到接收用户无需再经过MailGateway。 2) 邮件经过MailGateway时,根据设置策略匹配决定附件是否解密。 3) 邮件白名单设置后发到该用户的所有邮件自动解密附件。 4) 邮件白名单设置由管理员设定。 以下是方案效果示意图
电子邮件安全 电子邮件通常称为E-mail,是计算机网络上最早也是最重要的应用之一,世界各地的人们通过电子邮件互相传递信息,进行网上交流。电子邮件已经成为现在人们互相往来的一种常用方式。电子邮件是一种将电话通信的快速与邮政通信的直观易懂想结合的通信手段,与电话通信以及邮政通信相比,电子邮件有它得天独厚的优点。但是,在电子邮件飞速发展的同时,电子邮件的安全问题也随之浮出水面。 一.电子邮件的安全隐患 针对电子邮件的攻击分为两种,一种世界对电子邮件的攻击,如窃取电子邮件密码,截获发送邮件内容,发送邮件炸弹;另一种是间接对电子邮件的攻击,如通过邮件传输病毒木马。产生电子邮件安全隐患主要有3个方面: (1)电子邮件传送协议自身的先天安全隐患。众所周知,电子邮件传输采用的是SMTP 协议,即简单邮件传输协议,它传输的数据没有经过任何加密,只要攻击者在其传输途中把它截获即可知道内容。 (2)由邮件接收端软件的设计缺陷导致的安全隐患。如微软的OutLook曾存在的安全隐患可以是攻击者编制一定代码让木马或者病毒自动运行。 (3)用户个人的原因到时的安全隐患。 二.电子邮件的安全技术 1.端到端的安全电子邮件技术 端到端的安全电子邮件技术保证邮件从发出到被接收的整个过程中,内容无法被修改,并且不可否认。PGP和S/MIME是目前两种成熟的端到端安全电子邮件标准。 PGP(Pretty Good Privacy)被广泛采用,通过单向散列算法对邮件内容进行签名,以保证信件内容无法被修改,使用公钥和私钥技术保证邮件内容保密且不可否认。发信人与收信人的公钥都保存在公开的地方,公钥的权威性则可由第三方进行签名认证。在PGP系统中,信任是双方的直接关系。 S/MIME(Secure/Multipurpose Internet Mail Extensions)与PGP一样,利用单向散列算法、公钥与私钥的加密体系。但是,S/MIME也有两方面与PGP不同:议事S/MIME的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而嘴上一级的组织(根证书)之间相互认证;二是S/MIME将信件内容加密签名后作为特殊的附件传送。 2.传输层的安全电子邮件技术 电子邮件包括信头和信体。端到端安全电子邮件技术一般只对信体进行加密和签名,信头则由于邮件传输中寻址和路由的需要,必须保证不变。目前,主要有两种方式能够实现电子邮件在传输中的安全:一种是利用SSL SMTP和SSL POP,另一种是利用VPN或者其他IP通道技术。 3.电子邮件加密 加密时一种限制对网络上传输数据的访问权的技术,加密的基本功能包括: (1)防止不速之客查看机密的数据文件。 (2)防止机密数据被泄露或篡改。 (3)防止特权用户(如系统管理员)查看私人数据文件。 (4)使入侵者不能轻易地查找一个数据文件
电子邮件系统安全解决方案 针对目前电子邮件系统存在的许多安全隐患,方标讯业提供一套领先的电子邮件安全解决方案。该方案包括了电子邮件反病毒,反垃圾,邮件加密传输,数字签名管理,负载均衡抗攻击,邮件中继网关等多种手段和措施,以满足用户对电子邮件安全的苛刻要求。 面向用户 电信级大规模电子邮局运营系统 电信级企业邮局托管运营系统 大中型企业的电子邮件系统 系统结构 下图是方标讯业电子邮件安全解决方案的系统工作原理图。主要工作区域在用户网络的边界防火墙和邮件系统之间,通过Foundir Email Security Suite 建立五层防护体系,防范来自外界的拒绝服务攻击。服务器上选装的Certificate Management,可以实现数字签名和内容加密管理,为用户提供个性化的电子邮件安全服务。通过邮件中继服务器Mail Relay的隔离和过滤处理,擦除邮件中继轨迹,避免内部网络结构外泄所引发的安全隐患。 功能特点 安全的电子邮件传输服务 方案中部署的Foundir SSL Gateway 是一个邮件通信信道加密网关,实现了用户端到服务器端甚至服务器端到服务器端的通信信道POP3、SMTP、Webmail、IMAP4会话过程的高强度加密防护,解决了邮件客户端以近乎明文方式登录系统带来的口令字泄密隐患。 稳定高效的电子邮件反防毒 在网关服务器上部署的Foundir VirusWall 是一套基于边界防病毒模式的电子邮件反防毒产品,内部采用了TCP代理、快速编解码以及多进程、多线程技术,减少了系统资源调度时间,提高了整体性能和效率,尤其在电信级的大用户量的电子邮件系统中, 性能表现优异。 强大的反垃圾邮件功能 在网关服务器与邮件服务器之间部署Foundir Spam Gateway,对邮件来源的发信人地址、姓名、邮件收信人、关键字进行多种条件组合的匹配过滤,智能识别潜在的垃圾邮件,并按照用户的需要给予适当的处理,尤其与硬件结合的功能对电信级的用户系统的性能有可靠的保障。 支持用户定制的邮件内容过滤 通过部署Foundir ContentFilter Gateway,可以实现电子邮件内容过滤,防止敏感内容和不安全的信息、文档、资料等透过电子邮件不恰当地传播。 简便易用的数字证书管理 在邮件服务器上部署的Cetitficate Management System提供电子邮件数字证书管理,支持所有主流的安全认证系统,例如VeriSign,InfoSec等。建立邮件内容加密、防窃听、反抵赖机制,是电子邮件应用于电子商务、电子政务的有力安全保证。 优秀的抗攻击性能 Foundir LoadBalance 邮件负载均衡网关,全面提高邮件系统的抗拒绝攻击能力,能够有效的抵制外来网络层攻击。通过审定超过TCP连接阀值,分别限制的POP3、POPs、SMTP、SMTPs、HTTP、HTTPs、IMAP4、IMAPs等访问,防止半连接方式的拒绝服务攻击。 方案特点
反垃圾邮件网关的技术规范 一、邮件网关要求 1、基本要求 (1)采用专用的硬件平台,自身安全性高、稳定性好。保证邮件网关系统的稳定性和性能,确保邮件网关设备不会成为网络系统的性能瓶颈。 (2)优越的系统性能。每小时处理的邮件流量和对收发邮件的处理内容扫描速度在同类产品中领先,支持标准SMTP和POP3协议,适用于任何支持上述邮件协议的邮件系统。 (3)要求通过公安部防病毒网关产品认证和防垃圾邮件认证,且同时拥有这两类安全产品的认证证书,最好能有河南省公安厅在本地的经营推荐证明。 (4)可以有效地实现电子邮件病毒过滤、内容过滤、垃圾邮件过滤,蠕虫过滤,阻断后门程序、DoS/DDoS等动态攻击行为。 (5)针对通过SMTP、POP3、HTTP、FTP等协议传输的内容进行过滤处理。 2、功能要求 (1)具备强大的反病毒功能 对所有进出站的邮件进行病毒扫描,应能够有效过滤普通病毒、邮件病毒、蠕虫病毒、木马活动,可以进行病毒邮件的隔离、删除、以及清除病毒的操作,支持病毒扫描引擎和病毒代码库的实时在线更新,及时遏制最新病毒的发作。为了保证系统的最佳性能,缓存扫描结果。 采用自主知识产权的成熟的防病毒引擎。 (2)能抵御对邮件服务器的各种攻击 全面防范针对传输层25端口攻击,防止邮件地址泄露,保障后端邮件系统的安全。提供最完善的防攻击体系,有效地防范针对邮件系统的各类攻击,包括邮件服务应用层的字典算法攻击、目录树攻击、多线程攻击、DHA攻击、DoS攻击等;邮件网关层的空文件攻击、多重病毒感染攻击、多重压缩攻击等。 (3)具有多层反垃圾邮件的防御结构 提供有力的、灵活的反垃圾邮件措施来保护邮件系统免受垃圾邮件的攻击,全面地防御垃圾邮件对邮件系统进行攻击。 所有的邮件都必须通过验证,才可以被发送至邮件系统;拒绝非法用户邮件的投递。 支持速率限制、并发连接、连接频率限制,防止拒绝服务攻击、保护网络带宽。防止邮件系统负担过重,造成正常邮件信息发送失败,
SecureMail 安全保密邮件系统产品概述 SecureMail安全保密邮件系统是集邮件安全传输、邮件/用户密级设置、密级流向控制、邮件跟踪等功能于一身,为用户提供全面的邮件加密安全收发功能的产品,并可通过附加组件实现对邮件及附件的细粒度权限控制。 SecureMail 安全保密邮件系统产品功能 ?认证功能:系统支持USB智能卡登录和用户名/口令的两种登录认证方式,并提供一次性口令认证功能, 管理员可以为用户设置临时认证口令,用户可凭此一次性口令登录使用系统,管理员可设置一次性口令的有效次数或有效时间,一旦超过有效次数或有效时间,一次性口令即失效。 ?密级控制功能:系统密级设置,系统针对需处理涉密信息的单位用户,提供了密级设置功能,并可对邮件和用户分别设置各自密级属性。用户标密:管理员可对用户设置密级属性,用户的密级可分为普通、秘密和机密三个等级。 ?邮件标密:邮件的密级可分为普通、秘密和机密三个等级,用户发送邮件时必须首先选择邮件的密级,系统会根据指定的密级控制策略匹配用户和邮件两者的密级,禁止低密级用户接触高密级邮件。 ?密级流向控制:密级流向控制的目的是保证用户、邮件、附件三者的密级匹配,确保高密级的邮件不会向低密级用户发送,低密级用户也不能发送高密级邮件。密级流向控制首先对密级邮件在选择发送人员时,会筛选密级相对应的接收人员。若发生不符合密级的邮件传输,系统会自动阻断。通 ?讯录密级控制:系统具有通讯录功能,通讯录以组织机构树的形式展示用户信息,方便在发送邮件时快速选择一个或多个用户作为收件人。通讯录在选择收件人时,将根据邮件密级确定收件人的显示范围,当邮件为普通密级时,收件人将显示全部用户信息;当邮件为秘密级时,收件人只显示密级为秘密级的用户信息;当邮件为机密级时,收件人只显示密级为机密级的用户信息。系统设定不允许用户手工输入邮件地址,只能选择通讯录中的用户信息来添加收件人,可有效防止高密级邮件被发送到低密级用户。
Copyright 2000-2015 Coremail SystemCoremail 5.0功能介 绍 CM5.0功能介绍 Coremail电子邮件系统基础功能 功能的同时,也在以下多个方面展现出了其细致、出众的品质: 网页风格 Coremail V 5.0 极简风格是Coremail电子邮件系统的新一代界面,经过专业研发团队精雕细琢、潜心打造而成,操作流畅快速,界面简约清新,以用户的最佳体验作为交互设计的核心宗旨,带来更好的视觉交互体验。 登录页行业模板 Coremail V5.0为不同行业的客户提供了不同的登录页模板参考,客户还可以根据企业形象与企业文化进行自定义登录页。
?全新交互体验 基于Coremail近15年的研发经验,吸收归纳众多企业的实际使用场景和交互需求,同时采用现在国际上流行的交互设计理念,并借鉴iOS产品设计与交互设计理念的精髓,V 5.0在页面规范、操作规范、信息规范等方面提供更好的用户体验。 ?性能全面提升 V 5.0极简风格在性能优化过程中,引入了下一代HTML5和CSS3标准,兼容各种浏览器。同时,新界面进一步优化WebModule界面框架与智能动态组件系统,让页面加载刷新速度更快、更高效,页面显示也更快捷。 另外,通过对存储机制与动态数据管理中心的进一步优化,用户访问数据库、提取数据 的速度将更快;在同等的网络环境下,V 5.0极简风格表现得更快、更稳定!
智能终端模版 随着移动电子设备的不断普及,通过iPad平板电脑、iPhone/Android智能手机等方式进行移动办公,已成为一种办公新趋向。为了让您拥有更佳的移动办公体验,进一步提高工作效率,Coremail团队率先在国内邮件系统市场上推出了基于企业邮箱应用的专属移动端邮箱模板。 ?全新交互设计,操作体验更舒适。 模板界面设计清新、简洁、大方,采用邮件分栏式结构,阅读操作体验与iPad/iPhone/Andriod的特性相符,且与网页的操作逻辑保持一致。 ?使用HTML5等技术优化,享受极速应用。 模板设计中引入了HTML5标准与CSS3技术,这样不仅在速度上有了大幅提升,而且使用过程中也更安全。经测试,在同等的网络环境下,您收发邮件的速度将提升50%。 ?智能化管理,移动办公效率更高。 模板支持批量邮件操作和搜索操作,以及更快速地查找与处理邮件。同时,写信联系人自动匹配设计也颇为人性化;您只要输入一个字母,便能让您快捷地找到相应联系人。 ?附件上传、在线预览,轻松替代电脑办公 模板支持写信直接上传手机上的图片、音频、视频等文件,满足移动互联时代多媒体写信的需求。同时您还可在手机端在线浏览附件,无需安装任何程序,可以直接通过邮箱在线查看office文档、pdf文档、图片、压缩包等格式的附件中的内容。由于有效减少对手机缓存的占用,预览速度也比国外同类产品快,也更加便捷。 读写退信 ?联系人名片。读信时,可移动鼠标到收信人email地址,即浮现联系人名片。名 片包括个人头像、所在部门、办公电话等信息,还提供快捷操作查看邮件往来、 拒收、加入白名单等。 ?发信统计。您可以在已发送邮件中,看到邮件发送状态统计,包括一共发送给多 少人,多少封发送成功,多少封已阅读,多少封投递失败,多少封邮件被设置了
安全网关产品介绍 一、产品定义 简单的说:是为互联网接入用户解决边界安全问题的安全服务产品。 详细的说:“安全网关”是集防火墙、防病毒、防垃圾邮件、IPS 入侵防御系统/IDS入侵检测系统、内容过滤、VPN、DoS/DdoS攻击检测、P2P应用软件控制、IM应用软件控制等九大功能和安全报表统计分析服务为一体的网络信息安全产品。 二、产品特点 1)采用远程管理方式,利用统一的后台管理平台对放在客户网络边界的网关设备进行远程维护和管理。 2)使用范围广,所有运营商的互联网专线用户均可使用。 3)解决对信息安全防护需求迫切、资金投入有限、专业人员缺乏的客户群体,以租用方式为用户提供安全增值服务,实现以较低成本获得全面防御。 4)功能模块化、部署简便、配置灵活。 四、(UTM)功能模块 1)防火墙功能及特点:针对IP地址、服务、端口等参数,实现网络层、传输层及应用层的数据过滤。 2)防病毒功能及特点:能够有效检测、消除现有网络的病毒和蠕虫。实时扫描输入和输出邮件及其附件。
3)VPN功能及特点:可以保护VPN网关免受Ddos(distributed Deny of Service)攻击和入侵威胁,并且提供更好的处理性能,简化网络管理的任务,能够快速适应动态、变化的网络环境。 4)IPS(Intrusion Prevention System , 入侵防御系统)功能及特点:发现攻击和恶意流量立即进行阻断;实时的网络入侵检测和阻断。随时更新攻击特征库,保障防御最新的安全事件攻击。 5)Wed内容过滤功能及特点:处理浏览的网页内容,阻挡不适当的的内容和恶意脚本。 6)垃圾邮件过滤功能及特点:采用内容过滤、邮件地址/MIME头过滤、反向DNS解析以及黑名单匹配等多种垃圾邮件过滤手段。 7)DoS/DDoS(distributed Deny of Service)攻击检测功能:“安全网关”能够有效检测至少以下典型的DoS/DDoS攻击,并可以根据设定的Tcp_syn_flood、udp_flood等阀值阻断部分攻击。 8)P2P应用软件控制功能:可以实现对BitTorrent、eDonkey、Gnutella、KaZaa、Skype、WinNY,Xunlei等P2P软件的通过、阻断及限速。 9)IM应用软件控制功能:“安全网关”提供对IM应用软件的控制功能,可以实现对AIM、ICQ、MSN、Yahoo!、SIMPLE、QQ等IM软件的控制,包括:阻断登录、阻断文件传输等控制。 10)安全报表服务:“安全网关”提供用户报表定制功能,能够根据用户的要求对报表格式、发送方式及发送频率进行定制。其中内容包括:A、安全服务套餐报表;B、安全策略设置一览表;C、网络带宽占用及流量分析报告或报表;D、攻击事件分析报告或报表;E、按名称的病毒排名:本客户的病毒爆发次数排名;F、按IP的病毒排名:本客户所有计算机的病毒爆发多少排名;G、垃圾邮件排名:统计垃
收稿日期:2002-03-05(修改稿) 作者简介:高继文(1967-),男,硕士研究生,主要研究方向:信息安全、电子商务; 何涛(1976-),男,硕士研究生,主要研究方向:信息安全、网络应用; 杨寿保(1947-),男,教授,博士生导师,主要研究方向:计算机网络及应用、信息安全与密码学. 文章编号:1001-9081(2002)06-0082-02 一个安全电子邮件系统的设计与实现 高继文,何 涛,杨寿保 (中国科学技术大学计算机科学技术系,安徽合肥230026) 摘 要:分析了安全电子邮件需要解决的问题,介绍了安全电子邮件的解决方案,并以一个企业的工资发放邮件系统为例给出了企业级安全解决的实例。 关键词:电子邮件;加密;数字签名;数字信封中图分类号:TP393.098 文献标识码:A 1 需要解决的问题 电子邮件存在的不安全因素包括:容易被别人偷窥,容易 被篡改,以任何人的名义冒发电子邮件等。尽管存在很多的不安全因素,但电子邮件还是在Internet 上被广泛应用,这是因为一般的电子邮件通信仅仅传输的是一些不敏感或不重要的普通信息,但是一旦考虑传输一些重要信息,那么安全性问题就是首要问题。 安全电子邮件的具体要求包括如下几点: 邮件内容的保密性。在邮件的收发过程中,除了邮件收发双方外任何人无法获取邮件真实内容。 信息来源证明———发信方对所发邮件的内容不可否认。当收信人接收到邮件时,有足够的证据证实这封邮件确实是发信方所发的,而且没有被篡改。 安全收条———收信方对所收到的邮件的内容不可否认。当收信人接收到邮件时,发信方有可靠的证据证实这封邮件被接收方收到了。 2 采用的安全措施 安全电子邮件所采用的安全措施,几乎全部以数据加密 技术为基础。安全电子邮件把对称密钥体制和公开密钥体制完美的结合了起来,充分利用了DES 效率高速度快、RS A 安全性高、密钥管理简便的优点。下面以数据加密技术为基础,讨论安全电子邮件所采用的安全措施。 (1)数字签名 数字签名采用RS A 算法,数据发送方采用自己的私钥加密数据,接受方用发送方的公钥解密,由于私钥和公钥之间的严格对应性,使用其中一个只能用另一个来解,保证了发送方不能抵赖发送过数据,完全模拟了现在生活中的签名。 (2)数字信封 发送方将消息用DES 、RC2、RC4等算法进行加密,并将对称密钥用接受方的公钥加密,称为消息的“数字信封”,将数字信封与加密后的消息一起发给接受方。接受者收到消息后,先用其密钥打开数字信封,得到发送方的对称密钥,再用此对称密钥去解开数据。只有用接受方的RS A 密钥才能够打开此数字信封,确保了接受者的身份。 (3)协签名 数字签名的一个重要的应用就是协签名。一个文件可以被多个人签名,首先甲方将文件进行数字签名,被签名的文件发给乙方,乙方验证甲方的签名后可以用协签名的方法将自己的数字签名加到文件里,如果还有其他的人还可以用这个文件继续签名,最后发送给邮件的接收者。 3 实现方法 C APIC OM 是微软公司的一个C OM 的客户端组件,支持Automation ,它用于实现加密功能,如数据签名、验证签名、用 数字信封对信息加密、用数字信封对信息解密、数据加密、数据解密、数字证书验证等。可以使用VB 、VC ++对C APIC OM 进行开发。 1)创建数字证书 用户在创建数字签名、解密信息时必须拥有一个带有私钥(Private K ey )的证书(Certificate ),如果一个证书没有私钥,那么数字签名、解密就无法进行。使用C APIC OM 时要确保我们有一个证书,证书可以向专门的C A 认证中心申请,如RS A 、VeriS ign 、中国国际电子商务中心(CIECC )等。另外微软公司(密钥长度512位)和S UN 公司(密钥长度2048位)都提供了创建证书的工具。 可以从微软的站点下载这个工具,下载后先创建一个自签名的证书,方法如下: makecert -r -n "cn =xxx ,ou =yyy ,o =zzz"-ss my 其中XXX 是用户的名字,YYY 是组织名,ZZZ 是公司名。在Windows 操作系统中用控制台将这个证书导出,并放到根证书存储区后使这个证书合法并受信任。根据这个根证书可以创建相应的用户证书,发给单位其他的人使用,如果希望用于安全电子邮件,则需要将电子邮件地址的信息加到证书中。 2)对一个文件进行数字签名 数字签名的标准使用方法是将一个文件进行签名运算并且将签名后的数据保存到另外一个文件里。这个签名后的文件也可以在Internet 上传送。下面的例子简述了用C APIC OM 进行数字签名的过程,例中没有指定签名者,程序将在个人证书存储区自动找出用于签名的证书,如果有多个证书,将弹出 第22卷第6期2002年6月 计算机应用C om puter Applications Vol.22,No.6June ,2002
邮件安全网关产品白皮书 中企动力科技集团股份有限公司协同通讯事业部 2013年4月
目录 1.概述 (3) 2.产品特点 (3) 2.1.部署灵活 (3) 2.1.1.转发部署 (4) 2.1.2.透明部署 (4) 2.1.3.邮件服务器前端 (5) 2.1.4.网络出口部署 (5) 2.2.分布式结构,性能卓越 (6) 3.流处理技术 (7) 4.独特的存储技术 (7) 5.功能介绍 (8) 5.1.反垃圾引擎 (8) 5.2.反病毒引擎 (10) 5.3.防攻击 (11) 5.4.支持子策略的多级过滤 (12) 5.5.投递控制 (13) 5.6.黑名单和白名单 (14) 5.7.垃圾邮件摘要 (14) 5.8.高效的邮件备份审计功能 (15) 5.9.完备的报表统计功能 (16) 5.10.TOP排名统计 (16) 6.产品报价 (17)
1.概述 邮件安全网关产品是一款集成了反垃圾邮件、反病毒邮件、智能灵活的邮件过滤、高效的邮件备份等功能与一体的安全网关产品,为用户供强大的邮件安全保护和过滤功能。 部署邮件安全网关有以下重要意义: ?杜绝邮件服务器的非自身原因宕机,保证邮件服务的连续性 ?可以基本斩断病毒的邮件入侵渠道,保证内网安全 ?可以最大限度的减少垃圾邮件的干扰,提高邮件服务满意率 ?可以避免重要信息通过邮件违规外泄,避免潜在法律风险 ?可以提高邮件应用效率,提高邮件传递速度 ?部署在网络出口,可以过滤进出网络所有的SMTP/POP3邮件 2.产品特点 ?采用优化的LINUX平台,性能优异,稳定安全 ?灵活的部署,支持转发和透明模式,可部署在不同的网络位置 ?采用流处理技术,确保没有邮件队列积压,收发没有延迟 ?高达99%的垃圾抓获率,低于0.001%的误判率,特有的反钓鱼数据库 ?集群统一管理和输出的统计分析功能 ?管理员权限的多级控制 ?可集成的网页过滤功能,体现完整的内容安全管理方案 2.1.部署灵活 邮件安全网关支持通常的转发方式部署以及透明方式部署,可以根据客户的实际情况进行不同的部署。
1.产品说明 腾翔安全邮件系统是一款基于PKI体系,支持RSA算法、国密算法,同时支持手机、平板电脑、PC多种终端,遵循国际和国家标准,用于保障网络中电子邮件传输安全的高安全电子邮件系统。 该系统采用数字证书技术,很好地解决了邮件传输时的身份认证问题,并通过电子签名、高强度的数字加密技术保证了邮件的法律效力、信息保密。相对于普通的邮件系统,在防邮箱账号被盗、防邮件泄密、防内容篡改、防抵赖等方面,安全邮具有安全登录、安全传输与存储、防止抵赖、安全共享等优势和特点。安全邮同时支持手机、平板电脑、PC等多种终端,在任何一种终端上共享同一个账户,对于手机、平板电脑的支持,极大的方便用户随时随地使用,真正实现了任何时间、任何地点便捷的无纸化办公。 2.产品特性 1)保密性更强 河北腾翔科技的安全邮件系统基于河北CA数字证书,具有极高的安全等级,具有防病毒、防攻击、防篡改、防瘫痪、防窃密的能力,切实保障传输文件过程中的安全,强化信息资源和个人信息保护,对文件进行加密和实名认证,可以验证发送方的个人身份和部门身份,符合敏感信息保护需要,满足政府机关在电子政务中保护用户数据和国家基础数据的安全工作的要求。 2)文档流转和审批更便捷 在符合单位内部公文流转相关规范的前提下,可以方便的对办公公文、办公事项进行流转和审批,充分发挥邮件跨部门、跨处室、跨组织、跨团队的特性,
依赖内置于邮箱系统的电子签名机制,实现重要公文灵活而快速的上传、下达、流转和审批,提升办公效率同时兼具法律效力,开创敏捷办公、无纸化办公新时代。 3)全自主管理 根据各个党政机关和事业单位实际的需求和特点,定制符合各单位及政府机构的功能模块,具有强大的自定义功能,易用性极强,实现机关单位内部自主管理自己的邮件传输系统。 4)端到端的安全 安全邮件系统加解密组件,在发件和收件人之间实现端到端的安全和强加密,除了发件人本人和收件人,无论是网络攻击者还是邮箱系统管理员都只能看到加密后的数据包,而无法破解加密数据所含敏感信息,解除信息泄露的后顾之忧。 5)可实现一证多用 对于已经使用河北CA数字证书的党政机关或企业,可直接使用原数字证书,注册、登陆和使用安全邮件系统,实现“一证多用”,节省了成本,提高了通用性。 3.产品版本
我校垃圾安全网关系统简介 垃圾被认为是当今困扰网络界的一大难题。垃圾对电子用户破坏性最大,给个人和企业都带来巨大的损失。垃圾、病毒的大量泛滥,严重影响了系统的工作效率和普通用户的工作效率,更为严重的是可能危害到计算机的正常使用。中国互联网协会2004年4月份所做的一份调查研究显示,在中国,垃圾占了总量的60.5%,2003年垃圾致使国内生产总值损失达到了48亿元人民币,折合美元5.83亿元。 一段时期以来,我校广大师生一直受到垃圾问题的困扰,为了解决这个问题,网络中心经过长期的考察和调研,为学校的电子服务器配置了“安全网关系统”。"安全网关"有效地从网络层到应用层保护服务器不受各种形式的网络攻击,同时为用户提供:屏蔽垃圾、查杀电子病毒(包括附件和压缩文件)和实现内容过滤(包括各种附件中的内容)等功能。 经过对目前市场上多种网关系统的长时间考察和测试,最终选择了“美讯智安全网关”,它是市场上唯一基于内容过滤、实现查杀病毒和防X垃圾的产品,大大提高了防X的准确率,垃圾过滤率最高可达98%。 下图是我校安全网关系统的统计图,其中正常只有5%,其余的是:病毒17%,垃圾27%,策略过滤垃圾50%,可见这段时间电子的稳定,安全网关系统起了关键的作用。 为了保证用户有用的不被过滤掉,每天用户会收到一封垃圾列表,列出自己当天被过滤
掉的。如果用户感到哪封信是自己需要的,只要点击“投递”即可将收到自己的信箱中。 此外,凡是您正常收到的经过过虑的,在内容中都有这样的信息: ……………… ………………. Powered by MessageSoft SMG SPAM, virus-free and secure email .messagesoft. 网络中心2004-9-8
最前沿!思科IronPort邮件网关 【IT168专稿】本文的目标是让您能够了解:常见的邮件安全问题、ESA(email security appliance 电子邮件安全设备)的主要功能、ESA的典型应用场景、ESA带给用户的价值、ESA的最佳部署方案。涉及到的主题有:ESA简介、如何防御垃圾邮件、ESA系统架构、典型应用场景、邮件管道、邮件策略管理、数据泄露保护和内容过滤器、邮件加密。 一、ESA邮件安全简介 互联网技术的全球化、移动化、协作化发展,给用户带来很大方便,节约大量时间。而发展的同时各种威胁也不断出现,各行业推出了相关法规和安全策略,这些都是安全服务厂商需要面临和解决的问题。 思科的安全应用体系如下图。 安全应用体系涉及三个方面的内容,包括Cisco SensorBase、Threat Operations Center、Dynamic Updated。 Cisco SensorBase是一个全面的发件人信誉度和威胁数据库,其前身为IronPort公司运营管理的SenderBase,最初是针对邮件和Web安全来运营,包含了垃圾邮件发送者的信息和Web安全领域中的钓鱼网站、恶意网站等。现在的Cisco SensorBase已经不再局限于邮件和Web安全,更包括了一些像僵尸网络、肉机等新型的互联网危险。在未来的产品中,Cisco SensorBase数据除了应用于邮件和Web网关,还将应用于防火墙、IPS入侵检测等。 Threat Operations Center是由安全专家、分析师和程序员组成的威胁运营团队,每天24小时不间断的对SensorBase进行维护和更新,提供动态的实时的更新策略(Dynamic Updated)。 下面将针对Cisco SensorBase在邮件安全方面的应用作详细的介绍。 很多企业用户在使用邮件网关之前面临着各种各样的邮件问题如垃圾邮件、病毒邮件。通常的应对方法是使用防病毒邮件设备或单独的防垃圾邮件设备,存在分支机构的企业可能还需要部署邮件路由设备。通常这些设备是独立部署的,这将给用户的管理和效率都带来很大的问题。如下图是部署IronPort邮件安全网关前的网络结构。
鸿雁安全电子邮件系统解决方案 (中小型规模) 文档类型:通用文档 汕头市巨力科技有限公司 广州市讯奇数码科技有限公司 2006年10月
目录 目录 (2) 第一章概述 (3) 第二章鸿雁电子邮件系统 (4) 2.1 Honya Webmail 的特点 (4) 2.2 Honya Webmail 的功能 (6) 2.2.1前台功能 (6) 2.2.2后台功能 (7) 2.2.3信息中心应用模块(可选) (9) 2.2.4 个性化内部邮件办公系统模块(机关事业单位专用网) (10) 2.3安全电子邮件系统 (11) 2.3.1 专用邮件防火墙模块(选配) (12) 2.3.2 专用垃圾邮件过滤模块(选配) (13) 2.3.3专用智能反垃圾模块(选配) (14) 2.3.4 专用防邮件病毒模块(选配) (15) 第三章网络结构及实施 (15) 3.1网络结构 (15) 3.2 硬件服务器选型推荐 (16) 3.3 实施计划 (17) 第四章系统预算 (18)
第一章概述 鸿雁电子邮件系统是具有自主知识产权的软件系统,已经获得软件著作权和软件登记。本系统运行在Linux操作系统平台,支持大型电子邮件系统。可以应用于电子邮件提供商(ISP)、电子政务、机关事业单位内部办公系统、企业电子邮件系统、各种高等院校、中小学校等校园网。 鸿雁电子邮件系统提供Webmail界面,操作使用十分方便,可以与各种电子政务、办公、网站有效集成。同时支持SSL加密,通过HTTPS访问,使您在web 邮件更加安全可靠。 鸿雁电子邮件系统支持POP3协议,通过OUTLOOK、FOXMAIL等邮件客户端进行邮件收发。 鸿雁电子邮件系统运行在Linux Redhat 7.2免费操作系统上,可以为贵单位节省软件平台的开支。Linux操作系统已经经过补丁、优化,确保操作系统、网络的安全、稳定。 鸿雁电子邮件系统可以与鸿雁垃圾邮件过滤器(硬件)无缝结合,实现防攻击、反垃圾邮件、防邮件病毒等功能。达到安全电子邮件系统的解决方案。 针对小型系统(5千个电子邮件用户),可以通过在电子邮件服务器上增加反垃圾邮件模块和防病毒模块,达到过滤垃圾邮件和病毒邮件的效果。 针对不同行业和单位的不同业务需求,我们也开发了不同业务模块。更好的发挥电子邮件系统的作用。 针对信息中心电子政务的注册审批、用户类型、组管理、网络硬盘、共享通讯录、参政大厅接口等应用模块。 针对公安局专用网的注册审批、部门管理、通讯录管理、系统公告等应用模块。
KILL邮件安全网关
KILL邮件安全网关 产品定位 KILL邮件安全网关(KSG-M)通过保护邮件系统安全高效工作、控制电子邮件合法传递等技术措施,有效保障网络信息安全和邮件传递、网络通讯的正常工作,是一款高性能的邮件安全专用设备。KILL邮件安全网关帮助用户全面预防垃圾邮件、病毒邮件、邮件欺诈、邮件攻击等危害、监管违法信息传输,避免邮件传递引起的各种安全风险,适用于保护企业网络用户、互联网使用单位、ISP等各种规模的电子邮件基础设施。 产品优势 ?多因素关联,精确识别垃圾邮件 超过二十种领先的邮件安全技术,通过多因素关联分析判别方法,精确识别处理垃圾邮件,大幅降低“非黑即白”所造成的误判和漏判。?基于信誉度的邮件流量整形技术 基于邮件活动进行实时信誉度分析,自动进行优先级分配,从而大幅减轻非正常流量压力,保障正常邮件的及时传递。 ?三向保护,节约投资
仅用一台设备即可实现由外到内、内到外、内到内的三向邮件传递保护,保障邮件安全管理策略的一致性,节约投资。 ?灵活的部署方式 既支持旁路(并联)方式,也支持透明(串联)方式的部署连结,可适应用户各种复杂网络环境要求。 ?自有防病毒引擎 自主产权的KILL防病毒引擎保障用户长远权益,使防病毒技术服务和产品升级的连续性能够得到有效保障。 ?自主知识产权,公安部双认证 完全自有的技术产权和自主创新研发能力保障产品的持续发展。产品获得了国家版权局著作权证书和公安部销售许可,是目前唯一获得公安部反病毒、反垃圾邮件双认证的产品。 产品功能 ?过滤邮件病毒 全面过滤外来电子邮件病毒的入侵破坏,保障内部网络环境安全;防止内部邮件病毒向外或在内部扩散,保证发送邮件的安全性和信誉。
IronPort C-Series邮件安全网关 技术建议书 IronPort Systems 2007年1月
目录 1 . 简介 (3) 2 . 垃圾邮件的现状 (5) 2.1 什么是垃圾邮件 (5) 3 . 目前的几种反垃圾邮件技术 (6) 4 . 传统技术的缺陷 (7) 5 . IronPort安全邮件网关的技术特点 (8) 5.1 专用的MTA平台AsyncOS? (8) 5.1.1 无堆栈线程 (8) 5.1.2 输入输出调度机制 (9) 5.1.3 AsyncFS文件系统 (9) 5.1.4 防邮件攻击 (10) 5.1.5 DomainKeys技术 (11) 5.1.6 Bounce Verification退信校验 (12) 5.2 反垃圾功能(Anti-Spam) (13) 5.2.1 SenderBase 名誉得分过滤技术 (13) 5.2.2 深层内容过滤技术 (14) 5.2.3 基于上下文分析的扫描引擎(CASE) (14) 5.2.4 图片垃圾邮件过滤技术 (14) 5.3 邮件通道控制 (15) 5.4 邮件流量监控 (15) 5.5 高性能 (16) 5.6 别名功能 (16) 5.7 防病毒技术 (16) 5.8 VOF主动式病毒预防技术 (16) 6 . 系统介绍 (16) 6.1 网络结构 (17) 6.2 工作原理 (17) 6.2.1 SendBase & IronPort Reputaiton Filter (18) 6.2.2 IronPort 内容过滤(Message Filter) (19) 6.2.3 深层内容过滤技术 (20) 6.2.4 Anti-Virus技术 (20) 6.2.5 VOF技术 (21) 7 .IronPort C-SERIES 与其他反垃圾技术的比较 (22)
1. 将计算机IP地址设置为10.50.10.44,掩码255.255.255.0,网关 10.50.10.45,连接在VPN网关的FE1口。 2. 打开VPN网关配套光盘中的Admin Cert目录,双击证书文件SecGateAdmin.p12,弹出如下窗口。 按提示进行安装,密码为“123456”,其它按默认即可安装成功。 3. 在IE浏览器中输入:https://10.50.10.45:8889,密码为firewall 进入VPN网关管理界面。 4. 进入VPN网关管理界面。 5. 选择系统配置——》导入导出。 点击“浏览”,选择配置文件fwconfig.txt。 fwconfig.txt 如下: # hardware version: SecGate 3600-F3(SJW79)A # software version: 3.6.4.26 # hostname: SecGate # serial number: f6f335072669bb05 defaddr delalladdr defaddr add DMZ 0.0.0.0/0.0.0.0 comment "DMZ" defaddr add Trust 0.0.0.0/0.0.0.0 comment "Trust" defaddr add Untrust 0.0.0.0/0.0.0.0 comment "Untrust" vpn set default prekey PleaseInputPrekey ikelifetime 28800 ipseclifetime 3600 vpnstatus on vpnbak off vpn on vpn add remote static main psk name xian addr 222.91.74.218 prekey PleaseInputPrekey ike 3des-sha1-dh5,aes-sha1-dh5 initiate on obey off nat_t on ikelifetime 28800 dpddelay 0 dpdtimeout 0 vpn add tunnel name xian_qianxian local 61.185.40.23 remote xian auth esp ipsec aes128-md5,3des-sha1 pfs on dh_group 5 ipseclifetime 3600 proxy_localip 0.0.0.0 proxy_localmask 0.0.0.0 proxy_remoteip 0.0.0.0 proxy_remotemask 0.0.0.0 anti synflood fe1 200 anti icmpflood fe1 1000 anti pingofdeath fe1 800 anti udpflood fe1 1000 anti pingsweep fe1 10 anti tcpportscan fe1 10 anti udpportscan fe1 10