6款反垃圾邮件网关产品评测
- 格式:pdf
- 大小:1.39 MB
- 文档页数:21
SurfControl三大新品勾画安全前景针对日益突出的内容安全问题,SurfControl日前发布了系列新品:传统产品RiskFilter全面大升级至5.0版;推出全新架构的反间谍软件解决方案――企业安全盾(ETS);针对中小用户的上网行为管理需要,推出Web Filter SOS (WebFilter中小用户包) 。
至此,SurfControl在国内已经拥有了包括反邮件安全网关、网页过滤系统以及反间谍软件在内的三条产品线。
邮件信息安全网关RiskFilter 5.0增加了很多新功能:它无需系统管理员配置,集成SurfControl四大反垃圾邮件技术:美讯智数字指纹库、美讯智启发式规则库、美讯智语义分析规则库和互联网风险防御地址库;由美讯智全球内容安全专家不间断维护,提供每日更新的反垃圾数据库。
ETS 采用三层防护体系:WriteWatch可阻止间谍软件的入侵、exeWatch可阻止间谍软件文件的执行、FileWatch 可定期扫描网络文件系统。
ETS是专门针对企业环境设计的,它集成于企业的目录服务,无须客户端用户的参与。
在用户桌面电脑上运行时,仅仅是驻留在内存中并提供保护。
ETS 还使用了反篡改技术,确保了ETS保护服务驻留在桌面上,不会被用户有意或无意篡改。
Web Filter SOS以10个用户为一个基本产品包,最多可升至50用户,价格则从2200元至9800元不等。
与购买成本相比,WebFilter中小用户包带给中小用户的收益是十分可观的,仅从生产力提高角度看,WebFilter中小用户包能为10人以下的小企业每年节省6万元以上的成本。
需要指出的是,RiskFilter、ETS、Web Filter的核心都是动态威胁数据库,其中包含超过30000个不受欢迎的应用和文件的数字特征码,例如间谍软件、IM、P2P、游戏、视频和音频文件、以及其他威胁。
(胡英)编辑点评:通过过滤垃圾邮件、间谍软件和不恰当的上网行为,SurfControl为用户打造了一个集成、多层、持续更新的防御体系。
TOM网反垃圾邮件系统实施解决方案客户项目建议书Barracuda Networks (Shanghai) Co.,Ltd.2005-12-21第一章前言: 企业防治垃圾邮件的重要性在近几年的时间里,企业面临垃圾邮件的威胁成指数级增长,垃圾邮件占电子邮件总通讯量的达到60%以上,而这一数字在三年前仅为8%;与此同时,垃圾邮件的类型以及发送手段也愈加复杂化、多样化;电子邮件也一跃成为病毒的主要传播方式;这一系列的变化对企业网络构成了严重的威胁,这种威胁不仅仅是造成用户时间的损失,还包括系统资源的损耗,严重的还造成系统破坏。
因此,如何保护企业免受病毒邮件及垃圾邮件的侵袭,保证网络及企业信息安全成为每位网络或系统管理员的第一责任,也是企业信息化分管领导的重要职责所在。
垃圾邮件对企业造成的危害:1.垃圾邮件已占全球电子邮件的69%。
(亚洲经济,2005年6月)在国际上每天有超过200亿封垃圾邮件被发送出去,2003年全国有470亿封邮件流入了用户信箱,平均每人每天收到封垃圾邮件。
根据IDC的分析,到2006年,垃圾邮件数量将在2003年数量的增加一倍。
※根据Radicatti group预估调查(June,2003),到2007年全球垃圾邮件将占所有Email 流量的70%2.据Ferris Research研究报导指出,垃圾电子邮件每年让美国及欧洲企业分别损失高达89亿美元和25亿美元。
(其中40亿美元是因员工删除垃圾邮件而造成工作效率的降低,平均删除1封垃圾邮件得花秒钟。
37亿美元的花费,是为了应对超大量的资料流量,企业因而添购带宽及性能更佳的服务器,其余的损失则是公司为降低员工因垃圾邮件产生的困扰,为员工提供的支持的费用。
)3.除了上述金额的损失之外,垃圾邮件对企业的损害还可归类为:消费者的信任——这是电子邮件使用者的第一大问题,由于垃圾邮件的泛滥,用户失去了对电子邮件的信任;据调查约有29%的用户因此而减少了电子邮件的使用,对于企业而言,则可能造成员工弃用企业邮箱,这不仅对企业以前网络投入的浪费,且有损企业形象。
邮件安全网关邮件安全网关是一种用于保护企业邮件系统安全的重要设备,它能够有效地防范各种网络威胁,保障企业内部和外部邮件通信的安全性。
随着互联网的快速发展和信息技术的不断进步,邮件安全问题也越来越受到人们的关注。
本文将就邮件安全网关的作用、特点以及部署策略进行详细介绍,希望能够为广大企业用户提供一些参考和帮助。
首先,邮件安全网关的作用主要体现在以下几个方面:1. 防范垃圾邮件和恶意软件,邮件安全网关能够通过过滤技术,有效地识别和拦截垃圾邮件和携带恶意软件的邮件,保护企业用户的邮箱不受到垃圾邮件和恶意软件的侵扰。
2. 加密和解密邮件,邮件安全网关支持对邮件的加密和解密操作,确保邮件的机密性和安全性,防止敏感信息在传输过程中被窃取或篡改。
3. 网络流量监控,通过对邮件流量的实时监控和分析,邮件安全网关能够及时发现和阻止各种网络攻击,保障企业内部网络的安全。
其次,邮件安全网关具有以下几个特点:1. 多层次的安全防护,邮件安全网关采用多种安全技术,包括反垃圾邮件、反病毒、反钓鱼等,形成多层次的安全防护体系,提高了邮件系统的安全性和稳定性。
2. 灵活的部署方式,邮件安全网关可以部署在企业内部网络中,也可以作为云服务提供给企业用户使用,满足不同企业的安全需求。
3. 可定制的安全策略,邮件安全网关支持企业用户根据自身的安全需求,灵活定制邮件安全策略,包括发件人白名单、黑名单、邮件内容过滤等,提高了安全防护的精准度和有效性。
最后,关于邮件安全网关的部署策略:1. 内网部署,将邮件安全网关部署在企业内部网络中,可以更好地控制和管理邮件安全,保护企业内部通信的安全性。
2. 云服务部署,选择信誉良好的云服务提供商,将邮件安全网关部署在云端,可以降低企业的运维成本,提高安全防护的效率和灵活性。
3. 定期更新和维护,无论是内网部署还是云服务部署,都需要定期更新和维护邮件安全网关的安全策略和软件版本,及时修补安全漏洞,保障邮件系统的安全和稳定运行。
附件一:安全防护网关产品测试报告1. 测试背景某公司内网有800多台电脑,目前在Internet的入口处布署有某知名品牌硬件防火墙,同时在内部也布署了某知名网络版杀毒软件。
最近公司领导反映,自己的电脑总是不知不觉地安装上一些流氓软件,电脑变得越来越慢,虽然说公司有100M的Internet出口,可是总是无法体会到高速上网的感觉,为此,公司决定采用一定的方法来改善网络环境。
2. 测试经过经过与某公司信息中心的管理员沟通之后,我们获得了一个测试的机会,测试过程中采用如下的布署方法:3、测试结果以下是从3月14号早上8点到中午12点18分对移动公司测试的一个安全防护结果统计,从中我们可以看到外部病毒、垃圾邮件、外部攻击等给目前移动公司内网造成巨大的安全隐患以下是测试中得到的一些具体的统计分析报表:(1)谁是公司最活跃的人,也就是谁访问的数据量最多,通过深信服上网行为管理设备的日志报表中心可以一目了然:图1:当天IP排行榜图2:当天服务排行榜图3当天:流量趋势图(2)这么多的访问流量,员工在上班时间做什么去了呢?如下是深信服行为管理网关监控到的用户网络访问行为:图4:当天网络服务的排行榜图5:当天访问的URL(网站)排行榜图6:网络监控动作(3)很多同事说自己的电脑感染了病毒,可是这些病毒来源于哪里呢?如下是深信服行为管理网关在3月14号检测到的病毒来源及其内网哪台电脑感染了病毒图7:病毒的来源及其感染病毒的电脑图8:病毒的类型及其病毒来源的网站(4)如下是深信服行为管理网关检测到的外网对内网的攻击行为及内网PC可能存在的漏洞。
图9:攻击来源图10:攻击的类型图11:防御类型图12:入侵检测趋势图图13:详细的攻击情况4、解决问题的方法通过两天的测试数据分析,我们不难得出之前内网电脑不知不觉安装流氓软件及其感染病毒主要是由如下原因引起的,擒贼先擒王,要解决问题首先要解决问题的来源,只有把源头截断了,才能最终解决问题:(1)内网员工在上班时间访问一些不良的网站,不良的网站往往就携带有流氓软件,一旦用户去访问这些网站,这些网站就会自动强迫用户电脑安装流氓软件,此外,这些不良网站除了含有流氓软件插件外,还有大量恶意病毒,当浏览此类网站的同时,用户的电脑也就不知不觉感染了病毒,从而引起内网病毒泛滥。
最前沿!思科IronPort邮件网关【IT168专稿】本文的目标是让您能够了解:常见的邮件安全问题、ESA(email security appliance 电子邮件安全设备)的主要功能、ESA的典型应用场景、ESA带给用户的价值、ESA的最佳部署方案。
涉及到的主题有:ESA简介、如何防御垃圾邮件、ESA系统架构、典型应用场景、邮件管道、邮件策略管理、数据泄露保护和内容过滤器、邮件加密。
一、ESA邮件安全简介互联网技术的全球化、移动化、协作化发展,给用户带来很大方便,节约大量时间。
而发展的同时各种威胁也不断出现,各行业推出了相关法规和安全策略,这些都是安全服务厂商需要面临和解决的问题。
思科的安全应用体系如下图。
安全应用体系涉及三个方面的内容,包括Cisco SensorBase、Threat Operations Center、Dynamic Updated。
Cisco SensorBase是一个全面的发件人信誉度和威胁数据库,其前身为IronPort公司运营管理的SenderBase,最初是针对邮件和Web安全来运营,包含了垃圾邮件发送者的信息和Web安全领域中的钓鱼网站、恶意网站等。
现在的Cisco SensorBase已经不再局限于邮件和Web安全,更包括了一些像僵尸网络、肉机等新型的互联网危险。
在未来的产品中,Cisco SensorBase数据除了应用于邮件和Web网关,还将应用于防火墙、IPS入侵检测等。
Threat Operations Center是由安全专家、分析师和程序员组成的威胁运营团队,每天24小时不间断的对SensorBase进行维护和更新,提供动态的实时的更新策略(Dynamic Updated)。
下面将针对Cisco SensorBase在邮件安全方面的应用作详细的介绍。
很多企业用户在使用邮件网关之前面临着各种各样的邮件问题如垃圾邮件、病毒邮件。
通常的应对方法是使用防病毒邮件设备或单独的防垃圾邮件设备,存在分支机构的企业可能还需要部署邮件路由设备。
彩讯反垃圾邮件网关技术白皮书Rich Firewall V2.0.1(版权所有,翻版必究)目录1. 彩讯反垃圾邮件网关 (1)1.1. RICH FIREWALL是什么? (1)1.2. 应用价值 (1)1.3. 行业目标和客户 (2)1.4. 技术特点 (2)1.4.1. 反垃圾有效性 (2)1.4.2. 防病毒准确性 (4)1.4.3. 运维管理易用性 (5)2. R ICH FIREWALL架构 (6)2.1. 系统架构 (6)2.1.1. 架构说明 (6)2.1.2. 架构特点 (7)2.2. RICH FIREWALL管理平台 (7)2.2.1. 管理平台模块关系 (8)2.2.2. 管理关键点设计 (8)3. 产品功能介绍 (9)3.1. 反垃圾防病毒 (9)3.1.1. 过滤病毒邮件 (9)3.1.2. 过滤垃圾邮件 (9)3.2. 欺诈防御 (10)3.2.1. 抵御邮件攻击和欺诈 (10)3.2.2. 邮件监控与审核 (10)3.2.3. 邮件真实性校验 (10)3.3. 安全评分规则 (10)3.3.1. 网络控制层安全管理 (10)3.3.2. 人工智能识别 (11)3.3.3. IP评分 (14)3.3.4. 智能钓鱼识别 (17)3.3.5. 黑白灰名单 (19)3.3.6. 策略组 (19)3.3.7. 系统管理 (21)4. R ICH FIREWALL系统流程 (23)5. R ICH FIREWALL系统性能 (24)5.1. 拦截率 (24)5.2. 误判率 (24)5.3. 高安全性 (24)5.4. 高可靠性 (24)5.5. 高兼容性 (24)5.6. 高可用性 (25)6. R ICH FIREWALL安装部署 (25)6.1. 硬件配置 (25)6.2. 操作系统 (25)1.彩讯反垃圾邮件网关1.1. RICH FIREWALL是什么?彩讯反垃圾邮件网关是目前市场上技术最成熟的反垃圾邮件解决方案,在安全性上,采用了二十多种世界领先的邮件安全技术,七层过滤机制,垃圾邮件过滤拦截率超过99.7%,基于139邮箱8.5亿用户垃圾特征库实时向客户提供反垃圾服务,目前市场上反垃圾能力最强;在功能性上,彩讯反垃圾邮件网关为企业提供成熟的权限管理体系,平台采用全新的扁平化设计,简约大气的设计风格,极大的提高了用户的操作体验;在安装部署方面,采用一键安装、分布式部署,支持标准的开放API对接企业现有系统,同时提供企业自定制化服务。
电子邮件系统及反邮件垃圾网关具体参数和性能要求一、邮件系统技术要求(一)关于邮件系统的技术要求1、基于Unix、Solaris、Linux操作系统开发,采用Web管理界面和分布式系统管理,统一身份认证。
2、注册用户数20000,允许或禁止用户自由在线注册,并可定制用户界面风格。
3、在Web界面可以成批量的导入、导出用户信息,包括用户名、密码等其它信息。
4、提供对系统的logo、banner和用户别名的管理,用户可自由更改系统的copyright 信息、标题内容和登陆界面等。
5、支持多域,支持用户和域的别名管理,在子域内可以群发信件。
6、基于Web的日志管理,在日志中可以查看邮件服务器的系统信息,包括CPU、内存、磁盘空间;可以查看MX反查日志、病毒日志,可以查看各个域收发邮件的数量和所占空间大小。
7、支持公告栏功能,以便对全部邮箱用户发布公告或通知。
并可以显示所有浏览过公告用户的邮件帐号。
8、支持双向的防垃圾邮件和病毒邮件,即不但防止本系统用户收到垃圾邮件和病毒邮件,而且还可以防止本系统内的用户向系统外部发送垃圾邮件和病毒邮件。
9、可以对收信和发信进行双向审计,安装简单、方便用户备份和恢复。
10、系统除为用户提供邮件空间外,还可为用户提供网络硬盘空间、日记空间和相册空间,同时能够对用户的邮件空间、信件数量上限、网络硬盘空间、日记空间和相册空间进行限制。
11、系统能够锁定用户,锁定规则包括锁定Web登录、锁定SMTP发信与收信、锁定POP登录等。
12、可对邮件系统进行计费设置,计费规则包括:按用户类型包月、按用户信箱空间大小或信件数量包月、所有用户统一固定费用等,并可设置优惠策略。
13、可以设置系统标签,为域内所有用户提供统一的签名。
14、用户可以定制个性化的设置,设置包括:邮件夹每页显示邮件主题的数目、阅读邮件时删除或移动后的自动跳转选项、回复邮件时是否包含原邮件内容、发送邮件后是否保存到发件箱、发送信件是否显示姓名、选择进入界面、定时清空垃圾箱设置。
Data SheetSRX1500 与瞻博网络 Contrail 服务编排结合使用,可以向企业和服务提供商提供完全自动化的 SD-WAN。
其全自动部署 (ZTP) 功能极大地简化了分支机构网络连接的初始部署和持续管理。
SRX1500的高性能和可扩展性使它可以用作 VPN 集线器,在各种 SD-WAN 拓扑结构中端接 VPN/安全叠加连接。
SRX1500 服务网关运行 Juniper Networks Junos®操作系统,这是一个已得到实践验证并且运营商可以定制加强的网络操作系统,目前在为全球前 100 强服务提供商网络提供支持。
IPv4/IPv6、OSPF、BGP 和组播经过严格测试的运营商级路由功能已在超过 15年的全球部署中久经验证。
功能与优势SRX1500 服务网关规格软件规格防火墙服务•有状态和无状态防火墙•基于区域的防火墙•筛选和分布式拒绝服务 (DDoS) 保护•抵御协议和流量异常•与 Pulse 统一访问控制 (UAC) 集成•与 Aruba Clear Pass Policy Manager 集成•基于用户角色的防火墙•SSL 检测网络地址转换 (NAT)•带有端口地址转换 (PAT) 的源 NAT•双向 1:1 静态 NAT•带有 PAT 的目标 NAT•持久 NAT•IPv6 地址转换VPN 功能•隧道:通用路由封装 (GRE)1、IP-IP1、IPsec•站点-站点 IPsec VPN、自动 VPN、组 VPN•IPsec 加密算法:数据加密标准 (DES)、三重 DES (3DES)、高级加密标准 (AES-256)、AES-GCM•IPsec 身份验证算法:MD5、SHA-1、SHA-128、SHA-256•预共享密钥和公钥基础架构 (PKI) (X.509)•完全向前保密,防重播•IPv4 和 IPv6 IPsec VPN•站点-站点 VPN 的多代理 ID•互联网密钥交换(IKEv1、IKEv2),NAT-T•虚拟路由器和服务质量 (QoS) 感知•基于标准的失效对等方检测 (DPD) 支持•VPN 监控高可用性功能•虚拟路由器冗余协议 (VRRP)•有状态的高可用性- 双机箱集群- 主动/被动- 主动/被动- 配置同步- 防火墙会话同步- 设备/链路检测- 不中断服务的软件升级 (ISSU)•采用路由与接口故障转移的 IP 监控应用程序安全性服务2•应用程序可见性和控制•基于应用程序的防火墙•应用程序 QoS•高级/基于应用程序策略的路由 (APBR)•应用程序体验质量 (AppQoE)•基于应用程序的多路径路由威胁防御和情报服务3•入侵防御•防病毒•反垃圾邮件•类别/基于信誉的 URL 过滤•SecIntel 提供威胁情报•防范僵尸网络(命令和控制)•基于 GeoIP 的自适应实施•瞻博网络 Advanced Threat Prevention(一种基于云的 SaaS产品),可检测并阻止零日攻击•瞻博网络 ATP 设备,是一种内部部署的分布式高级威胁防御解决方案,可用于检测并阻止零日攻击路由协议•IPv4、IPv6•静态路由•RIP v1/v2•OSPF/OSPF v3•具有路由反射器的 BGP•IS-IS•组播:Internet 组管理协议 (IGMP) v1/v2;协议无关组播(PIM) 稀疏模式 (SM)/密集模式 (DM)/源特定组播 (SSM);会话描述协议 (SDP);距离矢量组播路由协议 (DVMRP);组播源发现协议 (MSDP);逆向路径转发 (RPF)•封装:VLAN、通过以太网传输的点对点协议 (PPPoE)•虚拟路由器•基于策略的路由,基于源的路由•等价多路径 (ECMP)QoS 功能•支持 802.1 p、DiffServ代码点 (DSCP)、EXP•按 VLAN、数据链路连接标识符 (DLCI)、接口、束或多域过滤器分类•标记、监管和整形•分类和计划•加权随机早期检测 (WRED)•保证带宽和最大带宽•入口流量监管•虚拟通道•层次结构整形和策略制定交换功能•基于 ASIC 的第 2 层转发•MAC 地址学习•VLAN 寻址以及集成路由与桥接 (IRB) 支持•链路聚合与 LACP•LLDP 和 LLDP-MED•STP、RSTP、MSTP•MVRP•802.1X 身份验证网络服务•动态主机配置协议 (DHCP) 客户端/服务器/中继•域名系统 (DNS) 代理、动态 DNS (DDNS)•瞻博网络实时性能监控 (RPM) 和 IP 监控•瞻博网络流量监控(J 流)•双向转发检测 (BFD)•双向主动测量协议 (TWAMP)•IEEE 802.3ah 链路默认管理 (LFM)•IEEE 802.1ag 连接故障管理 (CFM)高级路由服务•分组模式•MPLS(RSVP、LDP)•电路交叉连接 (CCC)、平移交叉连接 (TCC)•L2/L2 MPLS VPN、伪线•虚拟专用 LAN 服务 (VPLS)、下一代组播 VPN (NG-MVPN)•MPLS 流量工程和 MPLS 快速重新路由管理、自动化、日志记录和报告•SSH、T elnet、SNMP•智能图像下载•瞻博网络 CLI 和 Web UI•瞻博网络 Junos Space 和 Security Director•Python•Junos OS 事件、提交和 OP 脚本•应用程序和带宽使用情况报告•自动安装•调试和故障排除工具GRE、IP-IP 和 VRRP 在有状态高可用性模式下不受支持。
邮件反击战——6款反垃圾邮件网关产品评测计算机世界评测实验室秦钢李韬两三年前,还常听到有新网民抱怨“最近怎么没人给我发邮件?”如今,这批人多半已经在为满邮箱的垃圾邮件发愁了。
但更为发愁的却是企业的CIO和CSO们,由于垃圾邮件的泛滥,从员工到老板都在不断地向他们反映正常的信件收不到,而收到的却都是垃圾邮件。
并且企业的邮件服务器也经常由于垃圾邮件本身或垃圾邮件带来的病毒和安全攻击而瘫痪,对于非常依赖邮件的现代企业,这严重影响了它们业务的顺利进行。
如何采用技术手段来阻挡垃圾邮件,允许正常邮件通过,成为企业用户们普遍关心的问题。
为此,计算机世界评测实验室组织了我国媒体的第一次反垃圾邮件网关产品大型评测,旨在帮助广大用户了解市场的主流产品和技术,并加以有效地应用。
保护最后的端到端应用从诞生开始,电子邮件就是一种端到端的应用,简言之,是一种从用户A的发件箱到用户B的收件箱,反之亦然的应用。
电子邮件系统的简单结构和路由特性使其能够灵活地适应于各种网络,但同时也给垃圾邮件制造者们以可乘之机。
事实上,虽然早期的Internet应用中相当一部分具有端到端的特性,但随着网络发展,它们接二连三地成为安全性的牺牲品,被防火墙/NAT设备阻断。
今天,E-Mail已经成为仅存的端到端的主流Internet应用,也成为企业用户最难以控制的Internet流量。
在Internet中缺少控制就意味着混乱,这是由其(IPv4协议族)体系结构方面的缺陷造成的。
因此缺少控制的电子邮件已经成为黑客和病毒危害网络信息安全的主要途径。
对其进行控制势在必行。
对于企业用户来说,在用户桌面安装垃圾邮件过滤工具的作用有限,因为在过滤时垃圾邮件及其携带的有害流量已经进入了企业内部网络。
因此,必须采取更加积极的防御措施,在邮件服务器之前部署反垃圾邮件网关,将有害邮件挡在企业网络之外,是最有效的方法。
反垃圾邮件网关是一个第七层的逻辑概念,可以体现为一台专用设备,也可以是安装了专用软件的普通服务器。
在实施的时候,只要将用户现有的域MX纪录指向网关设备,再设置网关设备将邮件转发至原有邮件服务器即可。
在某些场合下,这类网关设备还可以工作在透明模式,串接在原有的邮件服务器的前面,这样做的好处是不需要对原有的网络结构和系统设置进行任何改变。
在透明模式下,网关也要对邮件的流量进行扫描处理。
总之,反垃圾邮件网关设备扮演了“邮件哨兵”的角色,在邮件抵达邮件服务器之前对其进行检查,并根据检查结果采取相应的措施。
关于垃圾邮件攻防的具体技术,可参考本报2004年第八期D8、D9版的文章《垃圾邮件技术分析》。
怎样评测反垃圾邮件产品对评测方法的考虑作为我国媒体首次进行的反垃圾邮件产品大型测试。
为了保证结果的客观性、准确性和科学性,我们在测试规划和测试方法方面进行了大量的准备,突破性地解决了很多问题。
测试反垃圾邮件的产品,要面临的第一个问题是如何界定垃圾邮件。
这往往是存在争议的,例如,对于多数用户毫无价值的广告信息,对个别用户可能是有用的。
目前,国际上对于垃圾邮件更为精确的称法是UCE(未经许可的有商业目的的邮件)和UBE(未经许可的批量发送的邮件)。
另外,从对于网络和邮件系统的危害程度来看,携带病毒与攻击代码的邮件是最大的。
考虑到绝大多数垃圾邮件制造者的邮件地址数据库都是从Internet网页中搜集整理而来的,我们使用了在网站上发布与背景同色的诱饵邮件地址的方法来收集垃圾邮件样本,这种地址是肉眼无法看到的,只能被工具搜索到。
我们可以确定,发送到这些信箱的邮件都是属于UCE或UBE范畴。
从2003年12月31日我们设立诱饵信箱开始,截止到2004年5月8日,我们的诱饵信箱共收到邮件20余万封,其中约1/4含有病毒或攻击代码。
经过处理,我们使用其中的9000封,加上采自其他途径的1538封邮件,对受测产品进行功能测试。
事实上,对于反垃圾邮件产品,采用在线测试也是一种有效的方法。
我们在收集样本的同时,也完成了在线测试的技术准备,但是在线测试需要受测设备进行足够长时间(至少2~4周)的持续测试,才能保证结果的有效性,而在测试周期内,会有各种潜在的、不可控的因素会对测试结果造成影响,可操作性较差。
因此,我们采取了尽量模拟真实环境、使用真实样本的折中方法。
这样既可以保证较客观地反映受测产品的功能,又可以保证测试可控、可重现、可操作。
功能测试方法在功能测试方面,我们采用了自行研发的测试工具,结合qmail系统进行邮件的发送。
虽然开发一个邮件发送程序非常简单,但单一的邮件发送模式无法模拟垃圾邮件多变的制造环境,而qmail是一种很常见的MTA,使用qmail可以有效地确保邮件发送的兼容性和真实性。
例如,所有垃圾邮件的邮件路由信息都被保留,其中往往包括了假的IP、主机名或E-mail 地址信息。
这些信息都可以成为受测设备判别垃圾邮件的条件。
在功能测试中,我们所采用的拓扑结构,如图3所示。
通过一台配有MTA(邮件传输代理)的发信服务器A向受测设备发送样本邮件,受测设备对邮件进行过滤处理后再发给收信服务器B。
我们在服务器B上建立了若干专用于收信的邮件账号,每次测试完毕后对处理结果进行统计和分析。
我们在测试环境中建立了实验域,为测试环境中的主机建立相应的A纪录,并将MX纪录指向受测设备,然后设置受测设备将邮件转发到收信服务器B。
我们使用的样本邮件共10538封,其中80%为汉字编码邮件,着重考察设备对于中文垃圾邮件的处理能力。
邮件样本的平均长度为14KB,其中约30%含有附件。
全部样本邮件中,除了垃圾邮件外,有500封正常邮件,包括普通的工作往来信函和订阅的邮件列表、以及朋友间的群发邮件等。
性能测试方法在性能测试方面,经过对用户实际需要的分析,我们将重点放在考察受测设备对于邮件的处理能力上。
不管是工作在转发模式还是透明模式,各种受测设备最终还是要在本地处理SMTP命令和维护邮件队列。
因此我们使用Spirent公司最新的Avalanche 2500和Reflector 2500设备来模拟一定的流量压力,考察反垃圾邮件网关所支持的邮件处理能力等重要参数。
在性能测试中,我们所采用的拓扑结构与功能测试类似:以Avalanche 2500模拟客户端向反垃圾邮件网关发送邮件,然后由反垃圾邮件网关转投给由Reflector 2500模拟的邮件服务器。
根据反垃圾邮件网关在不同工作模式下支持的网卡数目,我们测试的拓扑结构会有所变化,即在支持双网卡时,让它分别连接Avalanche 2500和Reflector 2500;在使用单网卡时,把它、Avalanche 2500和Reflector 2500一起连接到交换机上。
通过Avalanche 2500,我们可以对模拟邮件的源发送IP地址、目的IP地址、发件人、收件人、邮件的长度等参数进行设置。
测试时,我们采用了一个C类地址来模拟源发送IP,为了模拟真实的邮件环境,模拟的邮件中有25%的邮件大小为300KB,其余邮件的大小是在0.3~30KB之间平均分布的(即每封邮件的平均大小为15.15KB)。
具体测试过程分为五个阶段:第一阶段是准备阶段,Avalanche 2500准备发送模拟邮件;第二阶段是预热阶段,Avalanche 2500模拟的邮件发送人数从0缓慢升到10;第三阶段是逐步加压阶段,我们分十个步,每个步增长50个用户;第四阶段是维持阶段,即保持有510个用户同时做发信请求;第五阶段是结束阶段,用户数逐步减少到0。
整个模拟发信过程时长为220秒。
通过Reflector 2500,我们设置了接收邮件服务器的域名()、IP地址和端口号。
在Avalanche 2500发送测试邮件的同时,Reflector 2500开始对从反垃圾邮件网关转投过来的邮件进行分析统计,一直到反垃圾邮件网关结束整个投递过程时停止测试。
通过测试,我们可以得到反垃圾邮件网关每秒提供SMTP服务的能力——最大并发连接处理数,同时可以得到发送邮件的连接请求数、成功发送的邮件数、成功转发邮件的百分比及平均响应时间等重要参数。
需要说明的是,这些参数是在反垃圾邮件网关没有开启任何过滤策略时的数据,它们在一定程度上反映了反垃圾邮件网关在极限工作时能达到的状态。
为了保证测试的精确性,我们对每款产品在相同模式下都进行了三次测试,测试结果取平均值。
怎样分析评测结果对于用户来说,部署反垃圾邮件产品时除了尽量减少垃圾邮件的危害外,最重要的是不能导致正常邮件的丢失。
事实上,对于少量无恶意的垃圾邮件,多数用户并无反感,如果大部分垃圾邮件能够被有效过滤掉,即可认为产品的正常作用已经发挥。
在邮件过滤方面,参测产品各有特色,最适合的应用环境也各不相同,用户在选择产品时,应根据自身的实际情况来进行取舍。
在功能测试方面,我们测试的是受测设备处在默认的反垃圾邮件功能启用时的过滤情况,即测试用户刚进行完毕产品部署时的过滤情况(各厂家产品的默认过滤级别并不完全相同)。
在实际应用中,经过定制切合自身需要的策略和优化系统,通常过滤的成功率会更高。
在性能测试时,由于我们设定的邮件负载较大,这对于受测设备提出了较高的要求。
因此,我们测试得到的性能数据通常要比厂商标称的数据低。
事实上,这次测试中有两款设备平均每秒可以处理邮件80封以上,这意味着每小时可以处理近29万封,这已经是非常惊人的数字了。
需要指出的是,这次评测的所有产品包括软件和设备,其硬件配置并没有严格处于同一个水平线上,因此我们的测试结果不具有横向比较的意义,而是用来反映各家产品在相应的配置上所能达到的性能表现。
性能测试所用设备为Spirent Avalanche 2500和Reflector 2500,其接口均为1000 Base-T/1000Base-FX(SFP) Combo,以及三层千兆交换机。
功能测试使用计算机世界评测实验室开发的专用测试软件。
评测的基准网络环境为百兆交换以太网环境。
软件组的测试中,所用服务器平台为双P4 Xeon 2.2GHz CPU、1GB DDR SDRAM、240GB SATA RAID0硬盘组及100Base-Tx+1000Base-T双网络接口,可满足受测软件的推荐要求。
软件组的测试用的操作系统平台为Red Hat Linux 9.0,在典型服务器安装的基础上,再根据受测软件的要求添加一定的软件包。
功能测试中,发信服务器的配置为P4 Celeron 2.0G CPU、1GB DDRSDRAM、120GB PATA 硬盘,双1000Base T网络接口。
采用的操作系统平台为Trustix 2.1,这是一种在Red Hat Linux系统基础上开发的、针对Server应用、强调安全性的Linux发行版。