电子邮件
IMAP
Internet Message Access Protocol,以前称作交互邮件访问协议(Interactive Mail Access Protocol),是一个应用层协议。IMAP是斯坦福大学在1986年开发的一种邮件获取协议。它的主要作用是邮件客户端可以通过这种协议从邮件服务器上获取邮件的信息,下载邮件等。当前的权威定义是RFC3501。IMAP协议运行在TCP/IP协议之上,使用的端口是143。它与POP3协议的主要区别是用户可以不用把所有的邮件全部下载,可以通过客户端直接对服务器上的邮件进行操作。
POP3
全名为“Post Office Protocol - Version 3”,即“邮局协议版本3”。是TCP/IP协议族中的一员,由RFC1939 定义。本协议主要用于支持使用客户端远程管理在服务器上的电子邮件。提供了SSL加密的POP3协议被称为POP3S。
POP 协议支持“离线”邮件处理。其具体过程是:邮件发送到服务器上,电子邮件客户端调用邮件客户机程序以连接服务器,并下载所有未阅读的电子邮件。这种离线访问模式是一种存储转发服务,将邮件从邮件服务器端送到个人终端机器上,一般是PC机或 MAC。一旦邮件发送到 PC 机或MAC上,邮件服务器上的邮件将会被删除。但POP3邮件服务器大都可以“只下载邮件,服务器端并不删除”,也就是改进的POP3协议。
POP3协议默认端口:110
POP3协议默认传输协议:TCP
POP3协议适用的构架结构:C/S
POP3协议的访问模式:离线访问
POP适用于C/S结构的脱机模型的电子邮件协议,已发展到第三版,称POP3。脱机模型即不能在线操作,POP不支持对服务器邮件进行扩展操作,此过程需要更高级的IMAP4协议来完成。支持POP协议使用ASCII码来传输数据消息,这些数据消息可以是指令,也可以是应答。
SMTP
提供可靠且有效的电子邮件传输的协议。相对简单的基于文本的协议,一组用于从源地址到目的地址传送邮件的规则
SMTP使用TCP端口25。建立在FTP文件传输服务上的一种邮件服务,主要用于系统之间的邮件信息传递,并提供有关来信的通知。帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器,我们就可以把E—mail寄到收信人的服务器上了。
要为一个给定的域名决定一个SMTP服务器,需要使用MX (Mail eXchange)DNS
垃圾邮件概念介绍
电子邮件是一种通过网络提供信息交换的通信方式。完整的电子邮件一般包括邮件地址、主题、正文和附件。
电子邮件的格式有:SMTP、POP3、IMAP、MUA、MTA
垃圾邮件:
收件人事前没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件
收件人无法拒收的电子邮件
隐藏发件人身份、地址、标题等信息的电子邮件
含有虚假的信息源、发件人、路由等信息的电子邮件。
携带病毒和木马的邮件(以附件形式)
产生原因
SMTP协议缺陷:无法作垃圾邮件验证
经济利益的驱动
开放的互联网
无意导致的误发送
手段
非正常手段获取接收人地址列表
专门的服务器发送垃圾邮件
破解其他服务器或者主机发送垃圾邮件
破解他人账号发送垃圾邮件
综合运用多种躲避垃圾邮件检查的手段
现状
占总邮件数量比例为80%到90%
占用大量的网络资源和存储空间
浪费了邮件使用者的宝贵时间
钓鱼邮件影响信息安全
危害
降低生产力
被黑客利用
损害isp品牌形象
危害社会
技术分析
动态IP、域名:垃圾邮件才有IP地址或者域名变换技术,达到欺骗反垃圾邮件系统的目的
动态内容:关键字动态变化,采用附件代替文本内容,信头、正文动态变化,内容图片化
分布式发送:采用分布式的发送方式,以防止地址或者域名屏蔽
结合病毒特性:结合蠕虫病毒的自动传播机制,实现垃圾邮件的大量发送。
过滤技术
统计算法
贝叶斯
基于统计方法,采用标记权重的方式,以已知的垃圾邮件和非垃圾邮件为样本进行内容分析和统计来计算下一封邮件为垃圾邮件的概率,生成过滤规则。
连接/带宽统计
通过统计单位时间内某个固定IP地址试图连接的数量是否在预定范围,或者限制其有效带宽实现反垃圾邮件。
邮件数量限制
限制单个IP在单位时间内可以发送的邮件数量
信誉评级
基于统计的技术,采用信誉评级的方法实现邮件等级定义。
列表法
静态黑名单
通过配置静态黑名单对垃圾邮件进行过滤,但是该方法对于IP地址、域名变化技术没有效果,因此在实际网络中没有采用。
静态白名单
可以设置可信名单的方式来过滤垃圾邮件,可能会导致漏收
rbl实时黑名单列表
通过域名反向解析检查所收到邮件的IP地址与其名称是否一致,该技术对于使用虚假IP发送的垃圾邮件有较好的过滤效果。
定义一个或者多个黑名单列表,在该列表中的IP地址对外发布的邮件即为垃圾邮件。
提供RBL服务的机构会实时更新黑名单列表来保证可以过滤最新的垃圾邮件。
RBL过滤只支持对使用SMTP协议进行传输的邮件进行过滤。
源头法
domainkeys
采用验证邮件发件人是否与其声称的邮件域名一致,并验证邮件的完整性,该技术为一种公钥+私钥的签名技术。
spf发送策略框架
目的用户防止伪造邮件地址,基于反向查询技术判断邮件的指定域名和IP地址是否是完全对应。
其他
内容过滤
通过分析邮件的内容进而采用关键字过滤的方法对垃圾邮件进行过滤
多重图片识别技术
识别出通过图片来隐藏恶意信息的垃圾邮件
意图分析技术
通过分析邮件的内容进而采用关键字过滤的方法对垃圾邮件进行过滤。
告警:正常转发邮件,并发出日志告警信息
阻断:阻断邮件,并发出日志告警信息
| 功能描述 | 发送方向 | 接收方向 | |
| SMTP | POP3 | IMAP | |
| 垃圾邮件防范 | 检测、阻断、告警 | 不支持 | 不支持 |
| 匿名邮件检测 | 检测、阻断、告警 | 检测、阻断、告警 | 检测、阻断、告警 |
| 邮箱地址检查 | 检测、阻断、告警 | 检测、阻断、告警 | 检测、阻断、告警 |
| 邮件附件控制 | 检测、阻断、告警 | 检测、阻断、告警 | 检测、阻断、告警 |
匹配优先级顺序
本地白名单>本地黑名单>rbl黑名单。
RBL邮件过滤技术
RBL黑名单是由反垃圾邮件组织联合收集的一个庞大的在线数据库,收集、保存频繁发送垃圾邮件SMTP server的IP地址。
应用场景和工作流程
- FW收到SMTP消息后,提取发送方SMTP Server的IP地址。
- FW将步骤1解析出来的IP地址和由第三方RBL服务器指定的RBL服务名放到一条信息中,向DNS Server发送解析请求。例如,SMTP Server的源IP为10.2.3.4,RBL服务名为“sbl.spamhaus.org”,则FW将信息“4.3.2.10.sbl.spamhaus.org”发送给DNS Server。
- DNS Server收到FW发送的信息后,读取RBL服务名,解析出RBL服务器对应的IP地址,将查询请求转发给RBL服务器。
- RBL服务器收到DNS服务器转发的查询请求后,将结果以应答码的形式反馈给DNS Server。应答码是一个IP地址,标识此次RBL查询是否有结果。
- DNS Server将从RBL服务器获取的应答码转发给FW。
- FW根据应答码判断来自该SMTP Server的邮件是否为垃圾邮件。
- 如果从RBL服务器获得的应答码与FW上配置的应答码一致,该SMTP邮件将被视为垃圾邮件。
- 如果从RBL服务器获得的应答码与FW上配置的应答码不一致,该SMTP邮件将被放行。
SMTP/POP3邮件过滤
指当内网用户通过邮件客户端收发邮件时,对邮件地址、附件大小和数量进行监控。
邮件服务器在内网
如果检测到封装在SMTP消息中的邮件信息,FW执行发送方向的邮件过滤。
在trust区域和dmz区域之间开启发送方向附件控制,可以防止机密信息通过邮件方式泄露到外网。
邮件服务器在外网
如果检测到封装在POP3消息或IMAP消息中的邮件信息,FW执行接收方向的邮件过滤。
在trust区域和untrust区域之间开启接收方向附件控制,可以有效防止病毒入侵内网以及附件下载时占用过多的带宽资源。
配置思路
对象--安全配置文件--邮件过滤
1、配置本地黑名单/白名单(可选)
2、配置RBL黑名单(可选)
3、配置匿名邮件检测(可选)
4、配置邮箱地址检查(可选)
5、配置邮件附件控制(可选)
6、配置安全策略(必选):在安全策略中引用邮件过滤文件
故障处理思路
license是否有效
黑白名单是否配置
profile是否命中
配置是否提交
重新发起连接