SymantecMailSecurityforExchange4.6技術(shù)白皮書

1、 Symantec Mail Security For Exchange 4.6技術(shù)白皮書2005年3月 Symantec 和 Symantec 徽標(biāo)是 Symantec 公司和/或其附屬機(jī)構(gòu)在美國(guó)和其他國(guó)家或地區(qū)的注冊(cè)商標(biāo)。“Symantec”及“賽門鐵克”是 Symantec 公司在中國(guó)的注冊(cè)商標(biāo)。其他公司和產(chǎn)品名稱可能是其各自公司的商標(biāo)或注冊(cè)商標(biāo)，特此致謝。版權(quán)所有 © 2004 Symantec 公司。保留所有權(quán)利。目 錄一、產(chǎn)品定位和功能描述3二、產(chǎn)品工作原理、部署和管理方式32.1、產(chǎn)品結(jié)構(gòu)和工作原理32.2、產(chǎn)品部署模式42.3、產(chǎn)品管理模式4三、產(chǎn)品的主要技術(shù)特點(diǎn)5四

2、 系統(tǒng)需求14一、 產(chǎn)品定位和功能描述Symantec Mail Security for Microsoft Echange 4.6結(jié)合了內(nèi)容過濾、防垃圾郵件和業(yè)界領(lǐng)先的防病毒技術(shù)提供廣泛的、集成的郵件安全解決方案，利用自動(dòng)掃描和修復(fù)能力，它用最少的管理提供高性能的病毒防護(hù)，改進(jìn)的內(nèi)容過濾以及集成的防垃圾郵件功能防止不需要的內(nèi)容來自網(wǎng)絡(luò)的任何地方，同時(shí)防止機(jī)密信息外瀉。Symantec Mail Security for Microsoft Exchange 4.6由賽門鐵克安全響應(yīng)中心支持世界領(lǐng)先的研究和響應(yīng)機(jī)構(gòu)。二、 產(chǎn)品工作原理、部署和管理方式2.1、產(chǎn)品結(jié)構(gòu)和工作原理對(duì)于發(fā)送到 Mi

3、crosoft Exchange 服務(wù)器上的郵箱和公用文件夾中的消息正文和附件， Symantec Mail Security for Microsoft Exchange 4.6會(huì)進(jìn)行掃描。當(dāng)您執(zhí)行標(biāo)準(zhǔn)掃描時(shí)，Symantec Mail Security for Microsoft Exchange 會(huì)分解文件，并使用已知病毒特征的病毒定義文件對(duì)它們進(jìn)行病毒掃描。Symantec Mail Security for Microsoft Exchange 還會(huì)使用 Symantec Bloodhound 啟發(fā)式技術(shù)來對(duì)不存在已知定義的病毒進(jìn)行掃描。Bloodhound啟發(fā)式技術(shù)會(huì)尋找自我復(fù)制這

4、樣的異常文件行為，以發(fā)現(xiàn)可能受感染的文件。通過購(gòu)買額外的服務(wù)許可，增加的SPA（Symantec Premium AntiSpam）技術(shù)能夠?yàn)橛脩籼峁┦澜缱铑I(lǐng)先的Brightmail反垃圾郵件技術(shù)。通過集成多達(dá)20多種過濾技術(shù)，在不需要用戶進(jìn)行人工干預(yù)的情況下，能夠獲得95以上的有效性和業(yè)界最低的百萬分之一的誤報(bào)率。當(dāng)您創(chuàng)建過濾子策略并將其應(yīng)用于掃描作業(yè)時(shí)，您指定的項(xiàng)目將與消息內(nèi)容、特征和屬性進(jìn)行比較。 屬性包括發(fā)件人、主題、附件文件名稱和附件文件大小。Symantec Mail Security for Exchange 的工作原理結(jié)構(gòu)圖如下：2.2、產(chǎn)品部署模式直接安裝在MS Exchan

5、ge Server 上，支持Exchange 2000 with SP3以上及Exchange 2003。包括支持結(jié)合API2.5和新的垃圾郵件分類方法Spam Confidence Layer (SCL).2.3、產(chǎn)品管理模式可通過IE瀏覽器管理單臺(tái)服務(wù)器，也可以通過多服務(wù)器控制臺(tái)同時(shí)管理多臺(tái)Exchange服務(wù)器，當(dāng)通過多服務(wù)器控制臺(tái)管理時(shí)，可以很容易將配置同時(shí)發(fā)送到多臺(tái)服務(wù)器上。多服務(wù)器控制臺(tái)使用MMC接口。Symantec Mail Security for Microsoft Exchange支持將事件轉(zhuǎn)發(fā)到 Symantec Enterprise Security Architec

6、ture (SESA)。SESA 是一個(gè)事件管理系統(tǒng)，它使用數(shù)據(jù)收集服務(wù)收集 Symantec 安全產(chǎn)品生成的事件。三、 產(chǎn)品的主要技術(shù)特點(diǎn) 3.1 主要特點(diǎn)概括:§ 包含防垃圾郵件、內(nèi)容過濾和業(yè)界領(lǐng)先的防病毒等廣泛的解決方案。§ 自動(dòng)檢測(cè)和清除病毒，防護(hù)快速傳播的宏病毒，保護(hù)Exchange服務(wù)器受到病毒的威脅。§ 從賽門鐵克安全響應(yīng)中心自動(dòng)更新病毒定義碼到最新病毒庫(kù)。§ 不需要重新安裝軟件就可防護(hù)最新的病毒，減少管理成本。§ 支持Microsoft Exchange 2000 和 Microsoft的病毒掃描接口 API 2.0以及Micr

7、osoft Exchange 2003 和 Microsoft的病毒掃描接口 API 2.5和和新的垃圾郵件分類方法Spam Confidence Layer (SCL)。§ 增強(qiáng)的防垃圾郵件功能。通過SPA（Symantec Premium AntiSpam）技術(shù)能夠提供世界最領(lǐng)先的Brightmail反垃圾郵件技術(shù)。通過集成多達(dá)20多種過濾技術(shù)，在不需要用戶進(jìn)行人工干預(yù)的情況下，能夠獲得95以上的有效性和業(yè)界最低的百萬分之一的誤報(bào)率。 該服務(wù)獨(dú)立于 Symantec Mail Security for Exchange 進(jìn)行銷售和授權(quán)許可。§ 防垃圾郵件規(guī)則每510分鐘

8、自動(dòng)更新一次，實(shí)時(shí)獲得最新的防垃圾郵件規(guī)則，且不需要人工干預(yù)。§ 自動(dòng)過濾不適當(dāng)?shù)母郊U(kuò)展名或內(nèi)容，減少Exchange服務(wù)器的流量，提高效率。§ 遠(yuǎn)程安裝和中心管理以及報(bào)警都支持多臺(tái)Exchange服務(wù)器，減少管理負(fù)擔(dān)。§ 附加的Exchange Folder Agent和Outlook Plug-In組件簡(jiǎn)化了垃圾郵件的處理流程，減輕了管理員的管理負(fù)擔(dān)。§ 用新的零管理模式設(shè)置使管理和配置時(shí)間最小化。§ 提供主動(dòng)的爆發(fā)通知功能，使在病毒被識(shí)別和得到病毒定義碼之前管理員能迅速響應(yīng)和處理。3.2 集成防垃圾郵件§ 支持第三方的黑名

9、單(MAPS, etc.) 用戶可用多個(gè)黑名單來過濾，Internet上有超過125個(gè)公開的實(shí)時(shí)黑名單列表。 § 定制的白名單和黑名單匹配列表 管理員可處理用戶、收件人、發(fā)件人、合作伙伴以及其他條目的域列表（白名單）和不需要的通訊（黑名單） § 專門的接收的內(nèi)容過濾規(guī)則 管理員可設(shè)置規(guī)則掃描接收的郵件包括內(nèi)部和外部的，節(jié)約時(shí)間保護(hù)帶寬。§ 啟發(fā)式垃圾郵件檢測(cè)-對(duì)所有進(jìn)入服務(wù)器的郵件做基于垃圾郵件關(guān)鍵特征的檢測(cè)，以提高客戶端使用效率，節(jié)省網(wǎng)絡(luò)帶寬和郵件存儲(chǔ)空間。§ 垃圾郵件的多處理方式-依照垃圾確定的級(jí)別作不同方式的處理。包括：丟棄、記錄、消息標(biāo)記選項(xiàng) (

10、如 “SPAM” 加到標(biāo)題當(dāng)中)、阻止發(fā)送原收件人、插入定制的標(biāo)題作為這種郵件行動(dòng)的描述、發(fā)送給原收件人或是一個(gè)公共的目錄。這樣能最大的識(shí)別垃圾郵件能力和的處理方式。§ 垃圾郵件的統(tǒng)計(jì)功能-基于垃圾郵件安全級(jí)別的分類統(tǒng)計(jì)，垃圾郵件按照發(fā)送域的查詢，可以按照字母順序、發(fā)送的比率和發(fā)送的數(shù)量來分類。能快速的定位垃圾郵件的趨勢(shì)和發(fā)送的域名。3.3 SPA（Symantec Premium AntiSpam）服務(wù)Symantec Mail Security for Microsoft Echange 4.6與以往版本的最大區(qū)別就是引進(jìn)了專業(yè)的防垃圾郵件技術(shù)，使Symantec Mail Se

11、curity for Exchange成為一款在防病毒和防垃圾方面都具有世界領(lǐng)先水平的專業(yè)郵件安全防護(hù)產(chǎn)品。通過購(gòu)買額外的服務(wù)許可，增加的SPA（Symantec Premium AntiSpam）技術(shù)能夠提供世界最領(lǐng)先的Brightmail反垃圾郵件技術(shù)。通過集成多達(dá)20多種過濾技術(shù)，在不需要用戶進(jìn)行人工干預(yù)的情況下，能夠獲得95以上的有效性和業(yè)界最低的百萬分之一的誤報(bào)率。Symantec Mail Security for Microsoft Echange 4.6 利用Symantec全球領(lǐng)先的BLOC（Brightmail logistics and Operations Center

12、s）中心保證了反垃圾郵件解決方案的高有效性和準(zhǔn)確性。作為全球類似機(jī)構(gòu)中最大的垃圾郵件分析中心，其負(fù)責(zé)Symantec垃圾郵件過濾器的實(shí)時(shí)創(chuàng)建、調(diào)整和分發(fā)。BLOC由遍布全球三個(gè)大洲的幾個(gè)中心點(diǎn)所構(gòu)成，完成覆蓋全球的對(duì)垃圾郵件的全天候防御。它有復(fù)雜高效的自動(dòng)化反垃圾郵件工具，并由來自于全球各地的技術(shù)專家進(jìn)行監(jiān)控，對(duì)最新的垃圾郵件及其各種變種進(jìn)行分析，根據(jù)其特點(diǎn)創(chuàng)建過濾器，并將其發(fā)布到客戶站點(diǎn)上以便實(shí)時(shí)偵測(cè)和過濾掉垃圾郵件。這種自動(dòng)化工具和技術(shù)專家相結(jié)合的方式尤其重要，專家會(huì)對(duì)垃圾郵件的識(shí)別偵測(cè)和過濾器進(jìn)行最終確認(rèn)，使得Symantec反垃圾郵件解決方案能夠最快的跟進(jìn)垃圾郵件的不斷變化，提供了無與

13、倫比的靈活性，并最大程度的保證了反垃圾郵件解決方案的兩個(gè)要素：有效性和準(zhǔn)確性。 BLOC所分析的真實(shí)的垃圾郵件來源于已經(jīng)申請(qǐng)專利的 Probe Network (偵測(cè)網(wǎng)絡(luò))技術(shù)架構(gòu)，偵測(cè)網(wǎng)絡(luò)具有200萬個(gè)以上的誘騙郵件地址和郵件域，吸引垃圾郵件發(fā)送者不斷的向偵測(cè)網(wǎng)絡(luò)發(fā)送他們真實(shí)的垃圾郵件。 加上由用戶提交的垃圾郵件，偵測(cè)網(wǎng)絡(luò)監(jiān)視和保護(hù)全球超過3億個(gè)郵箱。每個(gè)月都有幾千萬的真實(shí)垃圾郵件發(fā)送到偵測(cè)網(wǎng)絡(luò)，隨后這些郵件被送到BLOC，自動(dòng)化的工具和技術(shù)專家將聯(lián)合分析這些郵件，并開發(fā)出有效的過濾器。垃圾郵件反發(fā)垃圾郵件之間早已是時(shí)間速度方面的戰(zhàn)爭(zhēng)，偵測(cè)網(wǎng)絡(luò)作為整個(gè)行業(yè)最大的捕獲真實(shí)垃圾郵件的技術(shù)架構(gòu)，使

14、得Symantec在垃圾郵件發(fā)生的第一時(shí)間就能進(jìn)行捕獲和分析，從而為全球范圍內(nèi)的用戶提供實(shí)時(shí)全面的郵件防護(hù)。SPA提供如下過濾技術(shù)進(jìn)行垃圾郵件的識(shí)別與過濾：Symantec可信度服務(wù)（Symantec Reputation Service）：Symantec監(jiān)控電子郵件來源以確定從這些來源發(fā)出的郵件的合法程度。然后，根據(jù) Symantec確定的這些來源的聲譽(yù)值禁止或允許從這些來源發(fā)出的電子郵件。 Symantec使用以下列表過濾郵件： § 開放代理列表：包含身份確定中繼的 IP 地址的動(dòng)態(tài)數(shù)據(jù)庫(kù)，其中包括具有開放端口或不安全端口的代理服務(wù)器。 § 安全列表：從中發(fā)出的電子郵

15、件幾乎都不是垃圾郵件的 IP 地址 列表。 § 可疑列表：從中發(fā)出的所有電子郵件幾乎都是垃圾郵件的 IP 地 址列表。 可疑垃圾郵件閾值：高級(jí)反垃圾郵件服務(wù)為每個(gè)郵件都計(jì)算了一個(gè)垃圾郵件分?jǐn)?shù) （從 1 到 100）。如果郵件分?jǐn)?shù)為 90 到 100，則被定義為垃圾郵件。此范圍不可配置。為了進(jìn)行更主動(dòng)的過濾，可以將垃圾郵件閾值定義在 24- 90 之間，以確定可疑垃圾郵件?？梢詥为?dú)指定處理垃圾郵件和可疑垃圾郵件的操作。 語言確定：高級(jí)反垃圾郵件服務(wù)可以確定撰寫過濾郵件所使用的語言。您可以對(duì)高級(jí)反垃圾郵件服務(wù)進(jìn)行配置，以自動(dòng)將用特定語言撰寫的郵件發(fā)送到收件人郵箱中的垃圾郵件文件夾。要使用

16、該功能，必須將 Microsoft Outlook 的可選插件部署到網(wǎng)絡(luò)中的臺(tái)式機(jī)上。在 Symantec Mail Security for SMTP 安裝光盤中提供了該插件。過濾器：高級(jí)反垃圾郵件服務(wù)支持下列過濾器類型：§ URL 過濾：Symantec 根據(jù)垃圾郵件中顯示的 URL 生成已知垃圾郵件發(fā)件人列表。該表包含 20,000 多個(gè) URL。§ 啟發(fā)式過濾：?jiǎn)l(fā)式過濾器可以掃描郵件標(biāo)頭和正文，以測(cè)試?yán)]件中通常固有的特征，如選擇性退出鏈接、特定短語和偽造的郵件標(biāo)頭等。§ 特征簽名過濾：使用添加到已知垃圾郵件的數(shù)據(jù)庫(kù)中的唯一特征簽名來判別發(fā)送到Syma

17、ntec Brightmail Logistics and Operations Center (BLOC) 的郵件的特征。使用該特征簽名，Symantec可以將源自單個(gè)攻擊的表面上隨機(jī)的郵件進(jìn)行分組和匹配。3.4 改進(jìn)的內(nèi)容過濾用 Dynamic Document Review (DDR) 內(nèi)容過濾的專利技術(shù)§ 對(duì)管理員“懷疑的”文件掃描 (如 “.mpg” 偽裝成為 “.doc”).§ 掃描附件不適當(dāng)?shù)膬?nèi)容。§ 對(duì)被過濾掉的文件，基于詞或詞組有違反DDR的說明。3.5 先進(jìn)的防病毒保護(hù) 對(duì)病毒、蠕蟲、木馬和混合型威脅提供新的防護(hù)工具§ 在病毒到達(dá)用戶

18、之前檢測(cè)和清除批量郵件病毒，如Klez 和BugBear。§ 掃描通過Exchange Server 作為POP3發(fā)送的消息，提供額外的保護(hù)。§ 通過LiveUpdate 自動(dòng)升級(jí)解碼引擎，因此不需要安裝新的解碼引擎版本§ 通過郵件給病毒發(fā)件人發(fā)通知，警告發(fā)件人有可疑的病毒。§ 對(duì)懷疑為批量郵件爆發(fā)的病毒有隔離的能力，即使病毒定義碼還沒有到，也可掃描和隔離可疑的郵件。 3.6獨(dú)特的掃描和修復(fù)引擎§ Symantec Mail Security engine 不需要大的更新可檢測(cè)新類型的病毒，管理員只需要將新的病毒定義碼升級(jí)就可以，不需要卸載和重

19、新安裝軟件。§ 一個(gè)點(diǎn)擊就可以擴(kuò)展掃描引擎，節(jié)約寶貴的人力資源。 3.7 啟發(fā)式掃描技術(shù)Bloodhound§ 使用改良的啟發(fā)式掃描技術(shù)允許干凈的文件通過服務(wù)器而阻止帶毒的文件。 3.8 Striker 專利技術(shù)§ 用Striker專利技術(shù)可檢測(cè)如“變色龍” 之類的加密多變形病毒，這些多變形病毒會(huì)躲避一般的病毒檢查方法。 3.9 管理簡(jiǎn)單§ 多服務(wù)器管理使管理員從一個(gè)控制臺(tái)同時(shí)管理多臺(tái)Exchange 服務(wù)器，在多臺(tái)服務(wù)器上同時(shí)更新配置。§ 高級(jí)策略管理對(duì)各種威脅給管理員提供很容易的配置，包括病毒、不適當(dāng)?shù)膬?nèi)容以及垃圾郵件等。使他們定制策略符合

20、企業(yè)業(yè)務(wù)的需求。§ 心跳狀態(tài)對(duì)所有的服務(wù)器提供連續(xù)的狀態(tài)監(jiān)控。§ 服務(wù)器狀態(tài)和快照提供強(qiáng)健的日志、報(bào)告、可配置的用戶通知以及統(tǒng)計(jì)功能，使安全人員知道在網(wǎng)絡(luò)環(huán)境中病毒的活動(dòng)狀況 § 用戶界面安全等級(jí)可使管理員設(shè)置各種訪問級(jí)別，基于用戶的權(quán)限可訪問特定的任務(wù)，如檢查病毒定義和報(bào)告等。§ 零維護(hù)管理通過使用新安裝設(shè)置減少日常的產(chǎn)品維護(hù).§ 啟發(fā)式爆發(fā)管理可使管理員定義規(guī)則觸發(fā)警報(bào)，并且當(dāng)爆發(fā)時(shí)采取特定的措施。 3.10 增強(qiáng)的垃圾郵件管理工具通過Symantec Mail Security For Exchange光盤提供了兩個(gè)額外垃圾郵件管理工具E

21、xchange Folder Agent和Outlook Plug-In軟件，可以極大的簡(jiǎn)化垃圾郵件的管理流程。使用Exchange Folder Agent可以為Exchange Server郵件系統(tǒng)的每一個(gè)用戶創(chuàng)建一個(gè)“Spam”文件夾，并且將每一封識(shí)別為垃圾郵件的郵件發(fā)送給相應(yīng)用戶的垃圾郵件文件夾中，由用戶自己決定是否刪除、恢復(fù)或者提交垃圾郵件，并且報(bào)告誤報(bào)為垃圾郵件的正常郵件。使用Outlook Plug-In插件， Outlook用戶可以輕松地將錯(cuò)過的垃圾郵件和誤報(bào)提交給Symantec。根據(jù)用戶配置插件的情況，用戶的有關(guān)提交還可以自動(dòng)發(fā)送給本地系統(tǒng)管理員。 此外，利用Outlook

22、插件，用戶還可以選擇管理自己的“禁止的發(fā)件人列表”和“允許的發(fā)件人列表”，以及指定希望接收用哪些語言撰寫的郵件，或不希望接收用哪些語言撰寫的郵件。利用這兩種工具可以將管理員從繁重的垃圾郵件維護(hù)工作中解脫出來，真正實(shí)現(xiàn)“零管理成本”。 3.11快速、自動(dòng)的病毒解決方案獨(dú)特的掃描和傳送- 當(dāng)隔離一個(gè)新的、不可修復(fù)的病毒文件時(shí)，掃描和傳送可防止進(jìn)一步感染，同時(shí)將病毒樣本發(fā)送到賽門鐵克安全響應(yīng)中心，然后： § 自動(dòng)分析病毒，返回修復(fù)方案（病毒定義碼）§ 使管理員將新的病毒定義碼迅速分發(fā)到所有Microsoft Exchange Servers 上。§ 使所有Symante

23、c AntiVirus 的用戶都能迅速獲得病毒定義碼。 3.12穩(wěn)定的、高性能的解決方案 利用Microsofts VSAPI 2.0/2.5 技術(shù)，Symantec Mail Security for Microsoft Exchange 可：§ 在郵件進(jìn)入收件箱之前掃描所有接收的郵件，提供更完全的實(shí)時(shí)防護(hù)。§ 當(dāng)通過Exchange Information Store 時(shí)掃描所有發(fā)送的郵件，減少病毒傳播。§ 掃描速度快改善服務(wù)器性能§ 精確報(bào)告和記錄所有的感染。§ 支持Exchange cluster 配置，包括“活動(dòng)/備份”和“活動(dòng)/活動(dòng)

24、”的Cluster 配置 3.13強(qiáng)大的掃描和修復(fù)選項(xiàng) 主動(dòng)的防病毒過濾§ 通過制定附件名、擴(kuò)展名和標(biāo)題可自動(dòng)過濾郵件§ 過濾還可防護(hù)其他類型的攻擊，防止網(wǎng)絡(luò)瓶頸和保護(hù)郵件存儲(chǔ)空間。 掃描窗口§ 可調(diào)度掃描§ 對(duì)于大的企業(yè)可在所有服務(wù)器上輪回。 增量掃描-通過下列方法減少重復(fù)多余的掃描§ 對(duì)每個(gè)被掃描的文件做標(biāo)記§ 僅僅這些文檔是新的或被改過才再次掃描。 壓縮文件掃描-掃描和修復(fù)下列格式的壓縮文件：§ Zip®§ MIME/UU§ LHA/LZH§ ARJ§ CAB§

25、; PKLite § LZEXE 調(diào)度- 提供下列方式的、靈活的調(diào)度掃描：§ 啟動(dòng)時(shí)§ 病毒定義更新時(shí).§ 一個(gè)月的指定的天數(shù) 對(duì)服務(wù)器的影響最小-有下列一系列的特點(diǎn)：§ 自動(dòng)防護(hù) 掃描和清除郵件附件病毒，而不是發(fā)送到其他NT/2000機(jī)器上掃描§ 一次掃描 保證郵件附件只掃描一次，無論收件人是多少都是如此。§ 調(diào)度掃描 允許在非高峰時(shí)間掃描。 3.14公共文件夾選項(xiàng)管理員可選擇全部或部分公共文件夾來掃描 3.15靈活的、集中化管理 遠(yuǎn)程管理§ 提供靈活的、易用的基于HTML的管理界面，管理員可在任何瀏覽器配置和管理Symantec Mail Security for Microsoft Exchange 靈活的集中化警報(bào)§ 當(dāng)檢測(cè)到可疑的活動(dòng)和病毒是可通過郵件或NT告警通知發(fā)件人、收件人和管理員。§ 收集警報(bào)到一個(gè)中心的位置，提供廣泛的活動(dòng)日志和統(tǒng)計(jì)。 調(diào)度LiveUpdate§ 從Internet在線式的自動(dòng)更新病毒定義碼§ 從內(nèi)部LiveUp