C-Series邮件安全网关

编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第1页 共1页IronPort C-Series邮件安全网关技术建议书IronPort Systems2007年1月目 录1 .简介32 .垃圾邮件的现状52.1什么是垃圾邮件53 .目前的几种反垃圾邮件技术64 .传统技术的缺陷75 .IronPort安全邮件网关的技术特点85.1专用的MTA平台AsyncOS85.1.1无堆栈线程85.1.2输入输出调度机制95.1.3AsyncFS文件系统95.1.4防邮件攻击105.1.5DomainKeys技术115.1.6Bounce Verification退信校验125.2反垃圾功能(Anti-Spam)135.2.1SenderBase 名誉得分过滤技术135.2.2深层内容过滤技术145.2.3基于上下文分析的扫描引擎（CASE）145.2.4图片垃圾邮件过滤技术145.3邮件通道控制155.4邮件流量监控155.5高性能165.6别名功能165.7防病毒技术165.8VOF主动式病毒预防技术166 .系统介绍166.1网络结构176.2工作原理176.2.1SendBase & IronPort Reputaiton Filter186.2.2IronPort 内容过滤 (Message Filter)196.2.3深层内容过滤技术206.2.4Anti-Virus技术206.2.5VOF技术217 .IronPort C-SERIES 与其他反垃圾技术的比较221 . 简介IronPort公司作为全球邮件安全的技术领先者，在垃圾邮件（anti-spam/anti-virus）的防护领域，具有无与伦比的技术优势。IronPort的C-Series系列产品专门为大中型企业、电信运营商、企业用户设计，提供了一个软硬一体的产品。IronPort成立于 2000 年，总部设在美国加州San Bruno，每季度的销售量增长为 50%。被Focus杂志评价为: 建设全球最可靠、最高性能的电子信息架构的公司。IronPort的技术专注于邮件增值服务市场，主要的产品是专用MTA服务器和反垃圾邮件服务器。IronPort公司的C-Series邮件安全网关的客户，遍布全球，其中包括著名的ISP、银行和企业：2 . 垃圾邮件的现状对于广大的Internet用户来说，每天不请自来出现在自己邮箱里的“垃圾”除了删除还是删除，除了让你觉得厌烦外，还浪费大量的邮件下载时间和带宽。另一方面，垃圾邮件的泛滥也严重损害了电子邮件服务供应商的服务质量和正常业务（例如商业广告）开展。更严重的是，伴随垃圾邮件传播的色情和政治反动内容正在造成无法估量的社会影响。根据IDC的统计，现在全球每天60的邮件被认为是垃圾邮件。2.1 什么是垃圾邮件2000年8月，中国电信制定了垃圾邮件处理办法，并将垃圾邮件定义为：向未主动请求的用户发送的电子邮件广告、刊物或其他资料；没有明确的退信方法、发信人、回信地址等的邮件；利用中国电信的网络从事违反其他ISP的安全策略或服务条款的行为；其他预计会导致投诉的邮件。2002年11月1日，由中国互联网协会、263网络集团和新浪共同发起，中国互联网协会反垃圾邮件协调小组即日在北京正式成立，国内20多家邮件服务商首批参加了反垃圾邮件协调小组。中国互联网协会在中国互联网协会反垃圾邮件规范中是这样定义垃圾邮件的： 所称垃圾邮件，包括下述属性的电子邮件：（一）收件人事先没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件； （二）收件人无法拒收的电子邮件；（三）隐藏发件人身份、地址、标题等信息的电子邮件；（四）含有虚假的信息源、发件人、路由等信息的电子邮件。”3 . 目前的几种反垃圾邮件技术Ø 客户端过滤 普通用户通常利用一些常见的电子邮件客户端工具的分拣和过滤功能设定一些规则，把接收下来的电子邮件进行检查和匹配，对符合垃圾邮件特征(如来自某个发件地址，主题或正文包含特定关键字)的邮件执行自动删除操作。Ø 客户端工具 上一种方法的缺点是电子邮件必须在下载到用户的计算机后才能进行识别和处理。这样，用户的网络资源还是会被垃圾邮件浪费掉了。加装某些客户端工具可以在一定程度上弥补这个缺点，其原理是利用邮件下载协议(POP3或IMAP4)的一些特定指令先下载邮件的头部信息进行垃圾邮件的判断和识别。 Ø 服务器端过滤 为了尽可能避免对用户网络资源的占用和浪费，有的服务供应商提供了WebMail服务，通过WebMail可以让用户在服务器上设定一些垃圾邮件的识别和处理规则。这样，垃圾邮件就可以在用户提取前被剔除掉了，进一步节省用户下载邮件的时间。 Ø 防火墙 即便如此，垃圾邮件毕竟也已进入了服务供应商的系统，仍然会占用服务供应商的网络出口带宽、主机处理时间和磁盘存储资源。于是，有的服务供应商便利用防火墙来禁止部分被怀疑发送垃圾邮件的Internet主机向其发送邮件，把部分垃圾邮件完全堵塞在系统之外。 4 . 传统技术的缺陷 不难看出，上述的技术方案存在着这样的一些缺陷： Ø 没有标准。目前中国的各个邮件服务商往往自己定义一些规则，你认为是垃圾邮件，他却不认为是垃圾邮件，严重干扰了正常邮件的发送。Ø 维护困难。需要手工为每台客户机或服务器分别配置垃圾邮件判别和处理规则。 Ø 实时性差、准确性低。由于规则维护困难，所以规则更新周期很长，难以因应新出现的垃圾邮件进行适当调整。 Ø 缺乏日志、统计和反馈机制。对于所采取的动作没有详细的日志可供查阅，也不可以对已作操作进行roll back。对于各种防范手段的成效没有统计，对当前服务情况也没有实时的统计，难以优化。 Ø 效率低，配置大量的垃圾邮件判别和处理规则，将会严重损害电子邮件系统的性能。 灵活性差，对垃圾邮件的判断依据和处理方法缺乏可调整的尺度，不能针对本性灵活多变的垃圾邮件作出最恰当的处理。 由于这些缺点的存在，现行的技术方案还远未能抑制垃圾邮件的泛滥，在一定程度上甚至还培养了大量垃圾邮件发送工具软件的成长，使得垃圾邮件的特征变得越来越模糊而难以判别。 5 . IronPort安全邮件网关的技术特点IronPort邮件安全服务器C SERIES安装在防火墙和服务器群之间，为进入和发出的邮件提供过滤和保护。作为世界上拥有最高性能的网关平台，IronPort C SERIES为客户的邮件流量管理提供统一简单的使用界面。5.1 专用的MTA平台AsyncOS传统的操作系统使为一般多功能作业而设计的。与其他应用不同，邮件安全网关有它的特殊要求，而传统的操作系统不能完全满足这种要求。IronPort通过硬件/软件的高度整合，设计开发了专用的MTA系统平台：AsyncOS操作系统。这个系统是基于FreeBSD的内核，所有与邮件无关的服务模块被清除掉，并针对邮件业务的特点，专门开发了多项安全技术，大大提高了系统的高性能，高可靠性和安全性。5.1.1 无堆栈线程在传统操作系统平台，每个线程都会被分配到特定的内存堆栈(memory stack)。由于处理堆栈溢出错误（stack overflow error）是非常困难的，加上堆栈溢出（stack overflow）很容易构成安全漏洞，因此系统一定会分配较多的系统资源给堆栈，这样一来大量的内存很快就被用光。AsyncOS的无堆栈线程技术的独特之处在于它只在需要的时才会分配内存空间，而不需要专用堆栈。这用高效率的内存使用政策不单只可以使并发线程的数量倍增，而且可以腾出更多的内存空间给文件系统的缓存，并可消除安全漏洞及堆栈溢出所致使的系统故障。AsyncOS基于无堆栈线程技术，提高了系统的连接数，最高达到10,000个并发连接数，传统的MTA系统不超过400个连接数，是传统MTA平台的10-20倍以上。5.1.2 输入输出调度机制AsyncOS系统基于I/O的需要而对系统资源进行调度。在传统的系统平台，多任务优先级抢占机制（preemptive multitasking operating system）把系统控制按时段分配给每个任务。这种轮流调度机制确保每一项任务都会获得分配CPU的某一预定时段。这种方式用于邮件文件传送的话，效率是非常低的。每次中央处理器执行一个新的任务时，都要消费资源进行上下文的交换（context switch）。而对于邮件信息这种应用的特点是，文件数量多，文件小，这样频繁的上下文交换对系统的性能造成了极大的影响。基于I/O 的调度会按照TCP 连接资源来分配每项任务的读写因而大大地降低上下文交换对性能的影响。当有TCP 连接时， 基于I/O 的调度会马上把系统资源分配给相关的任务直至连接不能再进行I/O 为止。这样一来，AsyncOS 只会在任务能使用系统资源时才会获得分配，而不是机械式地对每项任务作出轮流调度资源分配。这也是为什么AsyncOS 在信息传送应用中的吞吐量能比传统的操作系统大10 倍。此外，由于线程转换总是发生在I/O 完成以后，线程绝对不会在操作的过程中被中断。每个线程的内存管理都被简化使效率进一步提高。5.1.3 AsyncFS文件系统传统邮件平台面对的第二个架构的瓶颈是每个信息均需要分配一个特定的文档以供读写及删除。当信息处理量达到每小时数以万计的时候，管理这些文档的开销会快速增长并影响到性能。有一些应用依靠复杂连结的目录树(directory trees) 来解决这个问题，但成效不显著。当信息队列变大而要管理的相关文件增加时，性能便会急速的下降甚至整个系统会停顿。而且，传统的文件系统是经过优化以容许低时延的随机的数据访问及在系统发生故障时能快速的恢复整体的数据访问。为了达到这一目的，这些文件系统会把inodes, 文件资料区块的指标储存在硬盘。因此，更新任何文件会涉及多次的硬盘访问以更新数据及inodes 的更新。AsyncFS 是一个革命性的文件系统设计，它具有独特的数据结构专门为异步信息传送而设计。首先，信息不是个别储存而是分批储存，这样可以减少基本读写操作的次数。第二，每个控制信息传送次序的队列数据结构都会倍增。而且，这些“inode 队列” 是储存在内存而非硬盘，这更进一步减少读写的操作。异步文件系统是用于因特网信息处理的最佳系统：快速的读写而且不受队列大小的影响。快速的读写操作并没有牺牲系统安全。当系统受故障而使内存的inode 队列丢失时，AsyncFS 会从硬盘读取信息数据并同时再生内存的inode 队列以恢复信息传送。AsyncFS 不会象传统的文件系统那样需要快速随机数据访问，而且也没有相关的开销。AsyncFS 有突破性的性能并能在系统故障时保证数据的完整。5.1.4 防邮件攻击邮件系统现在收到越来越多的邮件攻击，主要的攻击包括：Ø DDos攻击Ø DHA攻击（字典攻击，退信攻击）Ø 多重压缩攻击Ø 空文件攻击Ø 半连接攻击这些攻击行为造成邮件系统负载过高，邮件传输延迟，邮件系统瘫痪，SMTP服务中断，甚至暴露公司用户帐号信息等。AsyncOS作为专用MTA操作系统，具备了强大的性能和安全保护功能。通过DHA技术，与保存用户信息的LDAP服务器集成，能够迅速的发现诸如字典攻击，退信的攻击行为，在向管理员发送告警