邮件安全领域,从诞生之出,就处在不停的“动荡”之中。从最早的反垃圾邮件设备、网络防毒墙彼此独立,到慢慢融合成为邮件安全网关,再到进一步整合进入UTM,经历了至少五年的过程。但眼下这个整合过程,也似乎进入了“震荡调整”期。
震荡的直接原因是性能。SurfControl的安全产品经理张勇在接受采访时表示,UTM设备一般处理能力都是按CPU和内存进行衡量。但是目前的垃圾邮件会大量牵扯到对邮件内容的扫描和判断,特别是对图片、PDF和最新的Excel垃圾邮件的扫描。这就造成了大部分配置不够高的UTM处理能力跟不上扫描的性能开销,换句话说,普通的UTM处理垃圾邮件的并发数量会比较少。
事实上,UTM的设计思路始终把安全放在第一位,只有在安全特性之上,才能谈性能。对此深州数码网络的安全产品经理王景辉解释说,当前不少UTM厂商都提供可选的反垃圾邮件模块,主要目的还是为了满足邮件量不是很大的中小企业的需求。
与独立的邮件安全网关相比,UTM的优势在于能够对多种安全威胁进行集中处理,降低用户的管理成本,同时降低了应用的复杂性和冗长的操作过程,并减少了后期的维护量。这样一来,UTM可以促使企业进行统一的安全策略定义,从而保证了安全规则的一致性。
另一个促使这种分立主义倾向的因素,就是反垃圾邮件技术的复杂性。在2004年IDC抛出UTM的概念时,曾对反垃圾邮件进行过注解,强调其必要性,但也指出了它在技术上过于复杂,因此不能简单地进行集成。
目前在反垃圾技术上,分为两个功能部分:阻止垃圾邮件和查杀邮件病毒。阻止垃圾邮件的技术有很多,如:关键字、IP黑/白名单、贝叶斯算法、垃圾邮件信誉评分、指纹识别、实时黑名单列表、意图检测、DNS反向查找、防止字典攻击、垃圾邮件防火墙、邮件域名过滤。不同的反垃圾邮件产品采用的技术有所不同,而网络上的开放源代码软件也有不少。
据IronPort华东区区域经理刘源介绍,当前垃圾邮件发展变化比较快,垃圾邮件的发送者越来越专业,动态域名、动态IP地址、各种发送过程,都已经智能化了,邮件接收方很难用传统的技术来防御,比如UTM中集成的黑白名单的方式,它们所起的拦截功效不大。
其实很多专业邮件安全厂商的优势在于完整的安全数据库。像IronPort的信誉IP数据库,通过对全球30%的邮件流量监测,分析邮件的来源、IP、内容,并进行评分同时标记发送方的信誉记录。这样用户日后收到的邮件都会在数据库中进行对比,那些信誉不高的发送方就会被阻挡。
此外,一些厂商也具有本地化支持的安全数字指纹库。他们将垃圾邮件中的图片、PDF、Excel等信息进行分析,采用一种模糊算法(包括利用OCR识别技术),排除其中的干扰信息,从而提出共性的样本。当用户收到其他的垃圾邮件的时候,邮件安全网关都会进行内容扫描,只要发现类似的数字指纹,就可以阻止邮件的传播。据悉,这种技术对于依靠肉鸡、傀儡网络发送的盈利性垃圾邮件有比较好的效果。
另外,对于邮件病毒的拦截,也是消耗性能的大户。据王景辉介绍,接收一封邮件的时候,一般厂商都会采用代理技术。但因为代理技术需要完全接管链接的整个过程,然后才能再抛给客户端,会使性能非常慢,而采用了基于安全的流检测技术则可以获得性能的提高。
流检测技术一开始就把数据包陆续转发到客户端上,但传到最后几个数据包则暂时不发给客户端,而是先利用拷贝技术将数据包拷贝过来,组合起来查毒。如果发现其是病毒则拒绝推给用户,若不是病毒则再将最后几个数据包发到客户端上。因为所有的病毒只有完全收下来之后才是病毒,所以即便邮件携带病毒,只要没有最后几个数据包也就不会造成危险,而安全邮件的处理速度将会大大提高。
启明星辰安全网关产品部经理陈胜权在接受采访时表示,为了确保UTM中集成的凡垃圾邮件模块能够正常运行,可行的技术主要是将各类检测引擎和特征库进行一体化设计,对任何报文的深层检测均只需通过一次引擎,从而确保开启各项高级安全功能后,设备性能不出现大的下降。
不过他表示,无论对于UTM还是独立的邮件安全网关,最有效的技术还是要从协议层面入手。单纯依赖内容分析,不可能彻底解决问题。最新的相关技术包括采用数字签名来验证是否合法等,不过这些技术需要广泛采用后,才能很好的解决垃圾邮件的发送问题。
作为邮件安全的长期关注者,中石油信息安全部门的工程师在接受采访时表示,他们在采购邮件安全产品的时候已经发现,无论是过滤还是反毒,邮件安全网关的性能开销都是惊人的,而且这还不算频繁更新带来的维护量。因此他们觉得,如果用户希望选择此类产品,需要根据自身的情况评估。
他们的建议是,用户如果自身的邮件数量不大,对垃圾邮件的防御要求也比较简单,这时候UTM的设备就比较合适,而且具有管理方便、高性价比的优势。但是如果用户企业拥有几千人到上万人,邮件系统也比较重要,流量也很大,甚至将邮件系统和小型机做在一起,那么这就不仅仅涉及到过滤垃圾邮件和病毒邮件的问题,还需要去审计邮件里面的内容,防止敏感信息外泻,换句话说,这要求对邮件有加密、归档、备份的能力,而这些都是专业邮件安全网关的强项。
