SymantecMailSecurityforExchange4.6技術(shù)白皮書

1、 Symantec Mail Security For Exchange 4.6技術(shù)白皮書2005年3月 Symantec 和 Symantec 徽標(biāo)是 Symantec 公司和/或其附屬機(jī)構(gòu)在美國和其他國家或地區(qū)的注冊商標(biāo)?！癝ymantec”及“賽門鐵克”是 Symantec 公司在中國的注冊商標(biāo)。其他公司和產(chǎn)品名稱可能是其各自公司的商標(biāo)或注冊商標(biāo)，特此致謝。版權(quán)所有 © 2004 Symantec 公司。保留所有權(quán)利。目 錄一、產(chǎn)品定位和功能描述3二、產(chǎn)品工作原理、部署和管理方式32.1、產(chǎn)品結(jié)構(gòu)和工作原理32.2、產(chǎn)品部署模式42.3、產(chǎn)品管理模式4三、產(chǎn)品的主要技術(shù)特點(diǎn)5四

2、 系統(tǒng)需求14一、 產(chǎn)品定位和功能描述Symantec Mail Security for Microsoft Echange 4.6結(jié)合了內(nèi)容過濾、防垃圾郵件和業(yè)界領(lǐng)先的防病毒技術(shù)提供廣泛的、集成的郵件安全解決方案，利用自動掃描和修復(fù)能力，它用最少的管理提供高性能的病毒防護(hù)，改進(jìn)的內(nèi)容過濾以及集成的防垃圾郵件功能防止不需要的內(nèi)容來自網(wǎng)絡(luò)的任何地方，同時防止機(jī)密信息外瀉。Symantec Mail Security for Microsoft Exchange 4.6由賽門鐵克安全響應(yīng)中心支持世界領(lǐng)先的研究和響應(yīng)機(jī)構(gòu)。二、 產(chǎn)品工作原理、部署和管理方式2.1、產(chǎn)品結(jié)構(gòu)和工作原理對于發(fā)送到 Mi

3、crosoft Exchange 服務(wù)器上的郵箱和公用文件夾中的消息正文和附件， Symantec Mail Security for Microsoft Exchange 4.6會進(jìn)行掃描。當(dāng)您執(zhí)行標(biāo)準(zhǔn)掃描時，Symantec Mail Security for Microsoft Exchange 會分解文件，并使用已知病毒特征的病毒定義文件對它們進(jìn)行病毒掃描。Symantec Mail Security for Microsoft Exchange 還會使用 Symantec Bloodhound 啟發(fā)式技術(shù)來對不存在已知定義的病毒進(jìn)行掃描。Bloodhound啟發(fā)式技術(shù)會尋找自我復(fù)制這

4、樣的異常文件行為，以發(fā)現(xiàn)可能受感染的文件。通過購買額外的服務(wù)許可，增加的SPA（Symantec Premium AntiSpam）技術(shù)能夠?yàn)橛脩籼峁┦澜缱铑I(lǐng)先的Brightmail反垃圾郵件技術(shù)。通過集成多達(dá)20多種過濾技術(shù)，在不需要用戶進(jìn)行人工干預(yù)的情況下，能夠獲得95以上的有效性和業(yè)界最低的百萬分之一的誤報(bào)率。當(dāng)您創(chuàng)建過濾子策略并將其應(yīng)用于掃描作業(yè)時，您指定的項(xiàng)目將與消息內(nèi)容、特征和屬性進(jìn)行比較。 屬性包括發(fā)件人、主題、附件文件名稱和附件文件大小。Symantec Mail Security for Exchange 的工作原理結(jié)構(gòu)圖如下：2.2、產(chǎn)品部署模式直接安裝在MS Exchan

5、ge Server 上，支持Exchange 2000 with SP3以上及Exchange 2003。包括支持結(jié)合API2.5和新的垃圾郵件分類方法Spam Confidence Layer (SCL).2.3、產(chǎn)品管理模式可通過IE瀏覽器管理單臺服務(wù)器，也可以通過多服務(wù)器控制臺同時管理多臺Exchange服務(wù)器，當(dāng)通過多服務(wù)器控制臺管理時，可以很容易將配置同時發(fā)送到多臺服務(wù)器上。多服務(wù)器控制臺使用MMC接口。Symantec Mail Security for Microsoft Exchange支持將事件轉(zhuǎn)發(fā)到 Symantec Enterprise Security Architec

6、ture (SESA)。SESA 是一個事件管理系統(tǒng)，它使用數(shù)據(jù)收集服務(wù)收集 Symantec 安全產(chǎn)品生成的事件。三、 產(chǎn)品的主要技術(shù)特點(diǎn) 3.1 主要特點(diǎn)概括:§ 包含防垃圾郵件、內(nèi)容過濾和業(yè)界領(lǐng)先的防病毒等廣泛的解決方案。§ 自動檢測和清除病毒，防護(hù)快速傳播的宏病毒，保護(hù)Exchange服務(wù)器受到病毒的威脅。§ 從賽門鐵克安全響應(yīng)中心自動更新病毒定義碼到最新病毒庫。§ 不需要重新安裝軟件就可防護(hù)最新的病毒，減少管理成本。§ 支持Microsoft Exchange 2000 和 Microsoft的病毒掃描接口 API 2.0以及Micr

7、osoft Exchange 2003 和 Microsoft的病毒掃描接口 API 2.5和和新的垃圾郵件分類方法Spam Confidence Layer (SCL)。§ 增強(qiáng)的防垃圾郵件功能。通過SPA（Symantec Premium AntiSpam）技術(shù)能夠提供世界最領(lǐng)先的Brightmail反垃圾郵件技術(shù)。通過集成多達(dá)20多種過濾技術(shù)，在不需要用戶進(jìn)行人工干預(yù)的情況下，能夠獲得95以上的有效性和業(yè)界最低的百萬分之一的誤報(bào)率。 該服務(wù)獨(dú)立于 Symantec Mail Security for Exchange 進(jìn)行銷售和授權(quán)許可。§ 防垃圾郵件規(guī)則每510分鐘

8、自動更新一次，實(shí)時獲得最新的防垃圾郵件規(guī)則，且不需要人工干預(yù)。§ 自動過濾不適當(dāng)?shù)母郊?、擴(kuò)展名或內(nèi)容，減少Exchange服務(wù)器的流量，提高效率。§ 遠(yuǎn)程安裝和中心管理以及報(bào)警都支持多臺Exchange服務(wù)器，減少管理負(fù)擔(dān)。§ 附加的Exchange Folder Agent和Outlook Plug-In組件簡化了垃圾郵件的處理流程，減輕了管理員的管理負(fù)擔(dān)。§ 用新的零管理模式設(shè)置使管理和配置時間最小化。§ 提供主動的爆發(fā)通知功能，使在病毒被識別和得到病毒定義碼之前管理員能迅速響應(yīng)和處理。3.2 集成防垃圾郵件§ 支持第三方的黑名

9、單(MAPS, etc.) 用戶可用多個黑名單來過濾，Internet上有超過125個公開的實(shí)時黑名單列表。 § 定制的白名單和黑名單匹配列表 管理員可處理用戶、收件人、發(fā)件人、合作伙伴以及其他條目的域列表（白名單）和不需要的通訊（黑名單） § 專門的接收的內(nèi)容過濾規(guī)則 管理員可設(shè)置規(guī)則掃描接收的郵件包括內(nèi)部和外部的，節(jié)約時間保護(hù)帶寬。§ 啟發(fā)式垃圾郵件檢測-對所有進(jìn)入服務(wù)器的郵件做基于垃圾郵件關(guān)鍵特征的檢測，以提高客戶端使用效率，節(jié)省網(wǎng)絡(luò)帶寬和郵件存儲空間。§ 垃圾郵件的多處理方式-依照垃圾確定的級別作不同方式的處理。包括：丟棄、記錄、消息標(biāo)記選項(xiàng) (

10、如 “SPAM” 加到標(biāo)題當(dāng)中)、阻止發(fā)送原收件人、插入定制的標(biāo)題作為這種郵件行動的描述、發(fā)送給原收件人或是一個公共的目錄。這樣能最大的識別垃圾郵件能力和的處理方式。§ 垃圾郵件的統(tǒng)計(jì)功能-基于垃圾郵件安全級別的分類統(tǒng)計(jì)，垃圾郵件按照發(fā)送域的查詢，可以按照字母順序、發(fā)送的比率和發(fā)送的數(shù)量來分類。能快速的定位垃圾郵件的趨勢和發(fā)送的域名。3.3 SPA（Symantec Premium AntiSpam）服務(wù)Symantec Mail Security for Microsoft Echange 4.6與以往版本的最大區(qū)別就是引進(jìn)了專業(yè)的防垃圾郵件技術(shù)，使Symantec Mail Se

11、curity for Exchange成為一款在防病毒和防垃圾方面都具有世界領(lǐng)先水平的專業(yè)郵件安全防護(hù)產(chǎn)品。通過購買額外的服務(wù)許可，增加的SPA（Symantec Premium AntiSpam）技術(shù)能夠提供世界最領(lǐng)先的Brightmail反垃圾郵件技術(shù)。通過集成多達(dá)20多種過濾技術(shù)，在不需要用戶進(jìn)行人工干預(yù)的情況下，能夠獲得95以上的有效性和業(yè)界最低的百萬分之一的誤報(bào)率。Symantec Mail Security for Microsoft Echange 4.6 利用Symantec全球領(lǐng)先的BLOC（Brightmail logistics and Operations Center

12、s）中心保證了反垃圾郵件解決方案的高有效性和準(zhǔn)確性。作為全球類似機(jī)構(gòu)中最大的垃圾郵件分析中心，其負(fù)責(zé)Symantec垃圾郵件過濾器的實(shí)時創(chuàng)建、調(diào)整和分發(fā)。BLOC由遍布全球三個大洲的幾個中心點(diǎn)所構(gòu)成，完成覆蓋全球的對垃圾郵件的全天候防御。它有復(fù)雜高效的自動化反垃圾郵件工具，并由來自于全球各地的技術(shù)專家進(jìn)行監(jiān)控，對最新的垃圾郵件及其各種變種進(jìn)行分析，根據(jù)其特點(diǎn)創(chuàng)建過濾器，并將其發(fā)布到客戶站點(diǎn)上以便實(shí)時偵測和過濾掉垃圾郵件。這種自動化工具和技術(shù)專家相結(jié)合的方式尤其重要，專家會對垃圾郵件的識別偵測和過濾器進(jìn)行最終確認(rèn)，使得Symantec反垃圾郵件解決方案能夠最快的跟進(jìn)垃圾郵件的不斷變化，提供了無與

13、倫比的靈活性，并最大程度的保證了反垃圾郵件解決方案的兩個要素：有效性和準(zhǔn)確性。 BLOC所分析的真實(shí)的垃圾郵件來源于已經(jīng)申請專利的 Probe Network (偵測網(wǎng)絡(luò))技術(shù)架構(gòu)，偵測網(wǎng)絡(luò)具有200萬個以上的誘騙郵件地址和郵件域，吸引垃圾郵件發(fā)送者不斷的向偵測網(wǎng)絡(luò)發(fā)送他們真實(shí)的垃圾郵件。 加上由用戶提交的垃圾郵件，偵測網(wǎng)絡(luò)監(jiān)視和保護(hù)全球超過3億個郵箱。每個月都有幾千萬的真實(shí)垃圾郵件發(fā)送到偵測網(wǎng)絡(luò)，隨后這些郵件被送到BLOC，自動化的工具和技術(shù)專家將聯(lián)合分析這些郵件，并開發(fā)出有效的過濾器。垃圾郵件反發(fā)垃圾郵件之間早已是時間速度方面的戰(zhàn)爭，偵測網(wǎng)絡(luò)作為整個行業(yè)最大的捕獲真實(shí)垃圾郵件的技術(shù)架構(gòu)，使

14、得Symantec在垃圾郵件發(fā)生的第一時間就能進(jìn)行捕獲和分析，從而為全球范圍內(nèi)的用戶提供實(shí)時全面的郵件防護(hù)。SPA提供如下過濾技術(shù)進(jìn)行垃圾郵件的識別與過濾：Symantec可信度服務(wù)（Symantec Reputation Service）：Symantec監(jiān)控電子郵件來源以確定從這些來源發(fā)出的郵件的合法程度。然后，根據(jù) Symantec確定的這些來源的聲譽(yù)值禁止或允許從這些來源發(fā)出的電子郵件。 Symantec使用以下列表過濾郵件： § 開放代理列表：包含身份確定中繼的 IP 地址的動態(tài)數(shù)據(jù)庫，其中包括具有開放端口或不安全端口的代理服務(wù)器。 § 安全列表：從中發(fā)出的電子郵

15、件幾乎都不是垃圾郵件的 IP 地址 列表。 § 可疑列表：從中發(fā)出的所有電子郵件幾乎都是垃圾郵件的 IP 地 址列表。 可疑垃圾郵件閾值：高級反垃圾郵件服務(wù)為每個郵件都計(jì)算了一個垃圾郵件分?jǐn)?shù) （從 1 到 100）。如果郵件分?jǐn)?shù)為 90 到 100，則被定義為垃圾郵件。此范圍不可配置。為了進(jìn)行更主動的過濾，可以將垃圾郵件閾值定義在 24- 90 之間，以確定可疑垃圾郵件。可以單獨(dú)指定處理垃圾郵件和可疑垃圾郵件的操作。 語言確定：高級反垃圾郵件服務(wù)可以確定撰寫過濾郵件所使用的語言。您可以對高級反垃圾郵件服務(wù)進(jìn)行配置，以自動將用特定語言撰寫的郵件發(fā)送到收件人郵箱中的垃圾郵件文件夾。要使用

16、該功能，必須將 Microsoft Outlook 的可選插件部署到網(wǎng)絡(luò)中的臺式機(jī)上。在 Symantec Mail Security for SMTP 安裝光盤中提供了該插件。過濾器：高級反垃圾郵件服務(wù)支持下列過濾器類型：§ URL 過濾：Symantec 根據(jù)垃圾郵件中顯示的 URL 生成已知垃圾郵件發(fā)件人列表。該表包含 20,000 多個 URL。§ 啟發(fā)式過濾：啟發(fā)式過濾器可以掃描郵件標(biāo)頭和正文，以測試?yán)]件中通常固有的特征，如選擇性退出鏈接、特定短語和偽造的郵件標(biāo)頭等。§ 特征簽名過濾：使用添加到已知垃圾郵件的數(shù)據(jù)庫中的唯一特征簽名來判別發(fā)送到Syma

17、ntec Brightmail Logistics and Operations Center (BLOC) 的郵件的特征。使用該特征簽名，Symantec可以將源自單個攻擊的表面上隨機(jī)的郵件進(jìn)行分組和匹配。3.4 改進(jìn)的內(nèi)容過濾用 Dynamic Document Review (DDR) 內(nèi)容過濾的專利技術(shù)§ 對管理員“懷疑的”文件掃描 (如 “.mpg” 偽裝成為 “.doc”).§ 掃描附件不適當(dāng)?shù)膬?nèi)容。§ 對被過濾掉的文件，基于詞或詞組有違反DDR的說明。3.5 先進(jìn)的防病毒保護(hù) 對病毒、蠕蟲、木馬和混合型威脅提供新的防護(hù)工具§ 在病毒到達(dá)用戶

18、之前檢測和清除批量郵件病毒，如Klez 和BugBear。§ 掃描通過Exchange Server 作為POP3發(fā)送的消息，提供額外的保護(hù)。§ 通過LiveUpdate 自動升級解碼引擎，因此不需要安裝新的解碼引擎版本§ 通過郵件給病毒發(fā)件人發(fā)通知，警告發(fā)件人有可疑的病毒。§ 對懷疑為批量郵件爆發(fā)的病毒有隔離的能力，即使病毒定義碼還沒有到，也可掃描和隔離可疑的郵件。 3.6獨(dú)特的掃描和修復(fù)引擎§ Symantec Mail Security engine 不需要大的更新可檢測新類型的病毒，管理員只需要將新的病毒定義碼升級就可以，不需要卸載和重

19、新安裝軟件。§ 一個點(diǎn)擊就可以擴(kuò)展掃描引擎，節(jié)約寶貴的人力資源。 3.7 啟發(fā)式掃描技術(shù)Bloodhound§ 使用改良的啟發(fā)式掃描技術(shù)允許干凈的文件通過服務(wù)器而阻止帶毒的文件。 3.8 Striker 專利技術(shù)§ 用Striker專利技術(shù)可檢測如“變色龍” 之類的加密多變形病毒，這些多變形病毒會躲避一般的病毒檢查方法。 3.9 管理簡單§ 多服務(wù)器管理使管理員從一個控制臺同時管理多臺Exchange 服務(wù)器，在多臺服務(wù)器上同時更新配置。§ 高級策略管理對各種威脅給管理員提供很容易的配置，包括病毒、不適當(dāng)?shù)膬?nèi)容以及垃圾郵件等。使他們定制策略符合

20、企業(yè)業(yè)務(wù)的需求。§ 心跳狀態(tài)對所有的服務(wù)器提供連續(xù)的狀態(tài)監(jiān)控。§ 服務(wù)器狀態(tài)和快照提供強(qiáng)健的日志、報(bào)告、可配置的用戶通知以及統(tǒng)計(jì)功能，使安全人員知道在網(wǎng)絡(luò)環(huán)境中病毒的活動狀況 § 用戶界面安全等級可使管理員設(shè)置各種訪問級別，基于用戶的權(quán)限可訪問特定的任務(wù)，如檢查病毒定義和報(bào)告等。§ 零維護(hù)管理通過使用新安裝設(shè)置減少日常的產(chǎn)品維護(hù).§ 啟發(fā)式爆發(fā)管理可使管理員定義規(guī)則觸發(fā)警報(bào)，并且當(dāng)爆發(fā)時采取特定的措施。 3.10 增強(qiáng)的垃圾郵件管理工具通過Symantec Mail Security For Exchange光盤提供了兩個額外垃圾郵件管理工具E

21、xchange Folder Agent和Outlook Plug-In軟件，可以極大的簡化垃圾郵件的管理流程。使用Exchange Folder Agent可以為Exchange Server郵件系統(tǒng)的每一個用戶創(chuàng)建一個“Spam”文件夾，并且將每一封識別為垃圾郵件的郵件發(fā)送給相應(yīng)用戶的垃圾郵件文件夾中，由用戶自己決定是否刪除、恢復(fù)或者提交垃圾郵件，并且報(bào)告誤報(bào)為垃圾郵件的正常郵件。使用Outlook Plug-In插件， Outlook用戶可以輕松地將錯過的垃圾郵件和誤報(bào)提交給Symantec。根據(jù)用戶配置插件的情況，用戶的有關(guān)提交還可以自動發(fā)送給本地系統(tǒng)管理員。 此外，利用Outlook

22、插件，用戶還可以選擇管理自己的“禁止的發(fā)件人列表”和“允許的發(fā)件人列表”，以及指定希望接收用哪些語言撰寫的郵件，或不希望接收用哪些語言撰寫的郵件。利用這兩種工具可以將管理員從繁重的垃圾郵件維護(hù)工作中解脫出來，真正實(shí)現(xiàn)“零管理成本”。 3.11快速、自動的病毒解決方案獨(dú)特的掃描和傳送- 當(dāng)隔離一個新的、不可修復(fù)的病毒文件時，掃描和傳送可防止進(jìn)一步感染，同時將病毒樣本發(fā)送到賽門鐵克安全響應(yīng)中心，然后： § 自動分析病毒，返回修復(fù)方案（病毒定義碼）§ 使管理員將新的病毒定義碼迅速分發(fā)到所有Microsoft Exchange Servers 上。§ 使所有Symante

23、c AntiVirus 的用戶都能迅速獲得病毒定義碼。 3.12穩(wěn)定的、高性能的解決方案 利用Microsofts VSAPI 2.0/2.5 技術(shù)，Symantec Mail Security for Microsoft Exchange 可：§ 在郵件進(jìn)入收件箱之前掃描所有接收的郵件，提供更完全的實(shí)時防護(hù)。§ 當(dāng)通過Exchange Information Store 時掃描所有發(fā)送的郵件，減少病毒傳播。§ 掃描速度快改善服務(wù)器性能§ 精確報(bào)告和記錄所有的感染。§ 支持Exchange cluster 配置，包括“活動/備份”和“活動/活動

24、”的Cluster 配置 3.13強(qiáng)大的掃描和修復(fù)選項(xiàng) 主動的防病毒過濾§ 通過制定附件名、擴(kuò)展名和標(biāo)題可自動過濾郵件§ 過濾還可防護(hù)其他類型的攻擊，防止網(wǎng)絡(luò)瓶頸和保護(hù)郵件存儲空間。 掃描窗口§ 可調(diào)度掃描§ 對于大的企業(yè)可在所有服務(wù)器上輪回。 增量掃描-通過下列方法減少重復(fù)多余的掃描§ 對每個被掃描的文件做標(biāo)記§ 僅僅這些文檔是新的或被改過才再次掃描。 壓縮文件掃描-掃描和修復(fù)下列格式的壓縮文件：§ Zip®§ MIME/UU§ LHA/LZH§ ARJ§ CAB§

25、; PKLite § LZEXE 調(diào)度- 提供下列方式的、靈活的調(diào)度掃描：§ 啟動時§ 病毒定義更新時.§ 一個月的指定的天數(shù) 對服務(wù)器的影響最小-有下列一系列的特點(diǎn)：§ 自動防護(hù) 掃描和清除郵件附件病毒，而不是發(fā)送到其他NT/2000機(jī)器上掃描§ 一次掃描 保證郵件附件只掃描一次，無論收件人是多少都是如此。§ 調(diào)度掃描 允許在非高峰時間掃描。 3.14公共文件夾選項(xiàng)管理員可選擇全部或部分公共文件夾來掃描 3.15靈活的、集中化管理 遠(yuǎn)程管理§ 提供靈活的、易用的基于HTML的管理界面，管理員可在任何瀏覽器配置和管理Symantec Mail Security for Microsoft Exchange 靈活的集中化警報(bào)§ 當(dāng)檢測到可疑的活動和病毒是可通過郵件或NT告警通知發(fā)件人、收件人和管理員。§ 收集警報(bào)到一個中心的位置，提供廣泛的活動日志和統(tǒng)計(jì)。 調(diào)度LiveUpdate§ 從Internet在線式的自動更新病毒定義碼§ 從內(nèi)部LiveUp