博威特网络技术(上海)有限公司第1页TOM网反垃圾邮件系统实施解决方案客户项目建议书BarracudaNetworks(Shanghai)Co.,Ltd.2005-12-21博威特网络技术(上海)有限公司第2页第一章前言:企业防治垃圾邮件的重要性在近几年的时间里,企业面临垃圾邮件的威胁成指数级增长,垃圾邮件占电子邮件总通讯量的达到60%以上,而这一数字在三年前仅为8%;与此同时,垃圾邮件的类型以及发送手段也愈加复杂化、多样化;电子邮件也一跃成为病毒的主要传播方式;这一系列的变化对企业网络构成了严重的威胁,这种威胁不仅仅是造成用户时间的损失,还包括系统资源的损耗,严重的还造成系统破坏。因此,如何保护企业免受病毒邮件及垃圾邮件的侵袭,保证网络及企业信息安全成为每位网络或系统管理员的第一责任,也是企业信息化分管领导的重要职责所在。垃圾邮件对企业造成的危害:1.垃圾邮件已占全球电子邮件的69%。(亚洲经济,2005年6月)在国际上每天有超过200亿封垃圾邮件被发送出去,2003年全国有470亿封邮件流入了用户信箱,平均每人每天收到2.85封垃45%52%60%66%70%01020304050607080902003年2004年2005年2006年2007年0%10%20%30%40%50%60%70%80%每日总Email封数每日总SPAM封数SPAM比例博威特网络技术(上海)有限公司第3页圾邮件。根据IDC的分析,到2006年,垃圾邮件数量将在2003年数量的增加一倍。※根据Radicattigroup预估调查(June,2003),到2007年全球垃圾邮件将占所有Email流量的70%2.据FerrisResearch研究报导指出,垃圾电子邮件每年让美国及欧洲企业分别损失高达89亿美元和25亿美元。(其中40亿美元是因员工删除垃圾邮件而造成工作效率的降低,平均删除1封垃圾邮件得花4.4秒钟。37亿美元的花费,是为了应对超大量的资料流量,企业因而添购带宽及性能更佳的服务器,其余的损失则是公司为降低员工因垃圾邮件产生的困扰,为员工提供的支持的费用。)3.除了上述金额的损失之外,垃圾邮件对企业的损害还可归类为:消费者的信任——这是电子邮件使用者的第一大问题,由于垃圾邮件的泛滥,用户失去了对电子邮件的信任;据调查约有29%的用户因此而减少了电子邮件的使用,对于企业而言,则可能造成员工弃用企业邮箱,这不仅对企业以前网络投入的浪费,且有损企业形象。降低工作效率—使用者会浪费无谓的时间阅读并处理这些无用的电子邮件。使用者工作效率降低被认为是企业因垃圾邮件所导致的最大损失。不当内容—垃圾邮件中可能包含攻击性文字,大多是人身攻击,此种邮件可能会伤害特定的个人或群组。此外,还有相当数量的与色情、非法宗教、以及其他与国家法规相悖的信息,也将对收件人造成不同程度的冲击。博威特网络技术(上海)有限公司第4页浪费IT资源—进入网络的大量垃圾邮件,会影响企业的网络使用带宽。对安全和隐私造成危害——例如邮件病毒、Phisher诈骗邮件、身份盗窃信等。博威特网络技术(上海)有限公司第5页第二章垃圾邮件特征分析一垃圾邮件定义若广泛来定义垃圾邮件,只要是收信者认为所收到的Email并非想阅读的内容,严重者甚至觉得信件内容或收信的频繁会让人嫌恶,都可称为垃圾邮件。若以信件内容及发送行为来定义垃圾邮件,泛指与内容无关,传送给多个收件者的邮件或粘贴物,且收件者并没有明确要求接受该邮件。也可以是传送给与邮件主题不相关的新闻组或者清单服务器的同一邮件的重复张贴物。国际上比较一致的看法,所谓垃圾邮件指未经用户许可,但却被强行塞入用户的电子邮件,垃圾邮件简称UCE(未经请求的商业广告邮件)或UBE(未经请求的大量寄送邮件),但是使用最广泛的则是SPAM,spam原为新泽西州的一种火腿罐头,后引申指无价值的东西。二垃圾邮件通常含有如下特征:1.具有群发软件特有特征的邮件;2.邮件包含多个相似的收件人地址,并按照一定顺序排序;3.伪造各种MUA发出的邮件;4.伪造了邮件路由的邮件;5.邮件内容包含敏感的关键字,比如“伟哥”等;6.邮件MD5特征值完全相同的多个邮件;7.邮件信头的各种特征,例如:To的用户名在标题起始处;8.发送的Multipart邮件中包含text/plain及text/html,其中text/plain包含伪造内容,而text/html包含垃圾内容;博威特网络技术(上海)有限公司第6页9.邮件中使用混淆的URL,使用URL编码字符;10.HTML邮件的内容或注释中含有大量无意义字串;11.邮件信头没有To字段;三垃圾邮件的类型----引自根据博威特网络分析,目前垃圾邮件类型居前五位的依次是医药类、成人色情类、误导或非法产品广告、金融类广告以及营销类广告。参见上图。博威特网络技术(上海)有限公司第7页四用户收到的垃圾邮件的语言构成上图是国内用户收到的垃圾邮件语言构成,因此用户应选择支持多语言过滤能力的垃圾邮件。五垃圾邮件成为跨国有组织转发垃圾邮件的犯罪行为,单靠一个国家的力量或单纯依靠技术很难应对,因此企业必须主动采取相应手段,防御垃圾邮件的威胁代理人或合作人:注册大量的域名和虚拟主机转发垃圾邮件中介人:分配订单、负责双方的结算垃圾邮件发送者:接受来自全球的订单并收集整理电子邮件地址博威特网络技术(上海)有限公司第8页六垃圾邮件业者取得名单的来源当您收到垃圾邮件的时候,常常发现寄信者您根本不认识,那对方为何有您的邮件地址呢?如果是「病毒或蠕虫」,一定是通讯簿中有您Email的朋友不小心中毒,然后寄出来的;如果是「广告邮件」,一般他们都是通过下面几种途径获得大量的邮件地址(按照最常见的取得方式介绍):1、购买Internet上有很多人在卖大量的邮件地址,相信不少人都收过这种贩卖邮件地址的广告信件,只要数百元,您就有少则百万个以上的邮件地址。而且很多还附上发广告信的软件,该软件会以伪造的发信者来发信,让收信者无法追踪来源。广告商就利用这份邮件名单开始大量寄送广告信件,名单中的人就会常常收到广告了。2、邮址自动收集程序Internet是个四通八达的世界,有人编写了邮件地址自动收集程序,在Internet上到处跑,将邮件地址收集传回。广告商不一定要会自己开发程序,因为某些网站上面就可以下载得到,或者通过贩卖邮址自动收集程序的广告,向广告商购买而得。3、人工收集如果发广告信的人无法取得邮址名单或邮址自动收集程序(不知道去哪买、不会自己写),最后一招就是土法炼钢,到Internet上到处逛,手动方式将看到的邮址抄下来,建立自己的邮寄名单。4、利用邮件服务器漏洞利用邮件服务器的漏洞,将信件寄给此服务器上邮件帐号的拥有人。通常,一台邮件服务器支持最博威特网络技术(上海)有限公司第9页多数千帐号(因为太多系统会吃不消;所以大公司可能有好几台邮件服务器),而且使用此方法要有相当专业知识或刚好知道方法,否则不可能使用这种方法。博威特网络技术(上海)有限公司第10页第三章TOM网反垃圾邮件需求分析及项目方案TOM在线为中国之领先业界的互联网公司,为广大用户提供多媒体增值产品及服务。作为中国知名的互联网品牌公司,TOM在线专注于向年轻时尚的群体提供包括无线互联网业务和网络广告在内的服务。公司业务范围覆盖了包括短信、彩信,WAP,无线音讯互动服务(IVR),内容频道,搜索,分类信息,免费及付费电邮服务,及网络游戏的多个领域。一.需求分析作为第一批知名门户网站,电子邮件系统目前是TOM的主要业务之一,所有Internet电子邮件均统一发送到tommx.cdn.163.net,由相关过滤防火墙进行病毒扫描后发送给邮件服务器,然后被TOM内的电子邮件客户端收取。目前TOM.COM的邮件服务器,对于来自外部的病毒防护方面可以说已经做得相当的好,拥有多套相关软件,对网络边界和服务器与客户端之间都进行了严密的防护,但是,对于垃圾邮件的防护和外发邮件的防护和策略要求上可以说做的相当脆弱,一旦发生问题后果将不堪设想。目前大量垃圾邮件、病毒邮件通过电子邮件系统传播,存在不定期对TOM网邮件服务器洪水攻击、DDos攻击、列举式字典攻击的情况,初步估计5%左右的电子邮件为病毒邮件,而垃圾邮件数量占TOM网邮件总数量的95%以上;而这些垃圾邮件给TOM网的电子邮件系统带来了大量潜在威胁,钓鱼式攻击;木马;间谍软件;病毒;后门程序以上这些威胁已经使垃圾邮件成为TOM网内部邮件系统很大的安全漏洞与缺陷之处,迫切需要博威特网络技术(上海)有限公司第11页通过实施专业的反垃圾反病毒硬件网关产品来加以解决,而实施专业的反垃圾邮件产品也可以大大减轻农的邮件服务器负荷,节省大量邮件服务器资源。二、梭子鱼反垃圾邮件反病毒网关安装方案1.TOM网现状况说明:TOM网是我们国家最早的门户网站之一,运营我们熟知的163邮局,同时提供免费邮箱,vip邮箱和企业邮箱服务,邮件帐号上千万,每天邮件流量好几千万封,。用户邮箱服务器位于安全防护层后面,IP地址为202.108.252.141,202.108.255.210,目前已经存在4千多万个用户(域),而且还在不断增加.目前按照TOM网的统计用户邮箱每天的邮件量大概为1000多万,且有不断增加的趋势,所以在部署梭子鱼的时候需要尽量考虑到梭子鱼的处理能力,同时需要考虑到冗余和未来的增量.另外,为了不受南北电信交换不通畅影响企业域名解析,TOM网现在有多个运营商的多条数据线路,建立有电信和网通两个位于不同的网段的服务器集群,互相不能通信,所以在部署的时候需要用两套梭子鱼设备设备分开部署。2.防垃圾邮件梭子鱼产品选择方案博威特网络技术(上海)有限公司第12页根据我们对贵公司网络情况的咨询了解和分析,我们决定采用BSF设备行业级系列的部署方案来部署贵公司的梭子鱼反垃圾邮件解决方案。此方案具有以下的优点:1)两组梭子鱼分别安装在邮件服务器之前,在邮件到达邮件服务器之前先对邮件进行IP过滤、内容过滤和病毒过滤.2)每个机房冗余型号梭子鱼做集群,不会造成单点故障,同时保证了非常强大的处理能力.3)产品性能余量高,具有很高的抗攻击性和突发性高流量负载性;具有较大的后备带宽弹性;4)具备邮件缓存的功能,即使您的Internet邮件服务器本身当机我们的设备也会代存储您的所有邮件并通知给您的管理员及时恢复邮件服务器的正常运作。具体选取产品型号列表如下梭子鱼型号BSF-600BSF-800BSF-900BSF-1000硬件规格CPU处理器2xXeon2.8Ghz2xXeon3.2Ghz4xDual-CoreOpteron2.8G4xDual-CoreOpteron2.8G内存2GB(ECC)3GB(ECC)8GB(ECC)8GB(ECC)硬盘容量SATA2x250GBSATA4x300GBSCSI4x74GB,SATA2x350GBSCSI4x74GB,SATA2x350GB机架规格1UFullsize2UFullsize2UFullsize2UFullsize网卡1x10/100,2xGigabit2xGigabit2xGigabit2xGigabit磁盘冗余(RAID)RAID1(热插拔)RAID10(热插拔)RAID10,RAID(Multiple热插拔)RAID10,RAID(Multiple热插拔)电源冗余–双电源(热插拔)双电源(热插拔)双电源(热插拔)功能特性兼容所有邮件服务器XXXX安全加固的操作系统XXXX自动备份XXXX博威特网络技术(上海)有限公司第13页端口转发XXXX外发邮件过滤XXXXMSExchange/LDAP加速器XXXX分用户隔离设置XXXX服务器日志支持XXXX堆叠自动负载均衡XXXX分域设置XXXX单点登录XXXXSNMP/APIXXXX用户自定义界面标志XXXX分用户评分设置XXXX系统性能多域支持数5,0005,0005,0005,000隔离区容量100GB200GB300GB300GB最大SMT