https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=ba1b3eba322eab5d895aa3023fe78b9c.2767&nosocial=1

觀點

垃圾信滿天飛

2005 / 10 / 17
Tom Bowers
垃圾信滿天飛

制服垃圾信
這四家廠商的產品都有部份類似之處,當然,在過濾郵件上,也有一些完全不同的地方。不過,在測試期間,這幾樣產品在防止垃圾郵件上,都可以達到近100%的準確度,而且沒有誤判。我們的郵件產出裝置是一台裝有BSD系統的伺服器,它會模擬把一百萬封信寄給一萬個收件者的狀況,以便可以測試出上述產品的穩定度和擴充能力。此舉也一併讓我們觀察到第一代及第二代的垃圾郵件過濾引擎,在此種負載狀況下的處理情形。同樣地,我們也在郵件流出跟流入之中,建立起永久性退回(hard bounce)以及暫時性退回(soft bounce)兩種信件遭退回的情況。(譯注:永久性退回—信件遭收件者的郵件伺服器拒絕或因收件者不存在,而將信件退回給發信者的情形;暫時性退回—收件者的郵件伺服器暫無法連線或收件者信箱沒有足夠空間來接收郵件而被退回的情形。二者差別在於,後者可以經由改善狀況,讓收件者再次接收到原信件。) 這樣也意謂著,在本次測試之中,我們可以不需要SNMP伺服器,並且還能將全部事物都規範在一個獨立的網路區段裡頭。
這些反垃圾郵件能力的產品,其不同處就在於第三代技術。此項技術的特點,就是針對防堵垃圾蟲溫做為逃避郵件偵測所使出更狡猾的閃躲方式而來,但由於本次測試是處於密閉式實驗環境之中,所以我們無法測試所有全部的功能。 尤其是當IronPort和CipherTrust兩家公司在整合反垃圾郵件方面的技術,主要也是要經過這二者的信譽過濾器的關係;信譽過濾服務是用於分析到底是誰正寄信給你,然後依寄件來源的信譽判別是要拒絕或者延遲轉送信件。
雖然IronPort在這部份的技術創新是有口皆碑,可是CipherTrust卻仍然發展出自身的關聯式郵件分析引擎。IronPort的信譽服務以及發信者資料庫,涵蓋75,000個網域,並監控網際網路上1∕4的電子郵件;而CipherTrust的TrustedSource網路也包含了稍微小一點的範圍(3,000個企業樣本),靠著一連串的關聯式引擎,在不同的寄件來源之間作分析比較。
另外,Symantec的Brightmail BLOC(Brightmail Logistics Operations Center)服務,則使用它專利的Probe Network-可以挹注數百萬計的誘捕帳戶來收集垃圾郵件。然後這些誘捕帳戶所提供的資訊便會送達到BLOC,接著再透過自動化工具及技術人員判定是否為垃圾信的整合機制,BLOC可以防堵佔全世界15%的垃圾郵件—大約是每個月一百億封左右。
BorderWare的反垃圾郵件技術是由第一代和第二代工具所組成的,像是黑白名單、特徵分析和貝氏過濾機制,其所提供測試的裝置是有包含Brightmail引擎。而IronPort則把Brightmail列為外掛模組,但即使沒有使用此模組,BorderWare的機器依舊表現亮眼。

防毒嚴選
當企業在郵件系統上安裝閘道式的防毒裝置,通常可以預見帶有病毒的收信郵件都會降低了60%至80%的流量!
除了Symantec外,所有廠商很明顯地都是使用別人的防毒技術:CipherTrust是採用McAfee/Authentium的技術,BorderWare則結合了Kaspersky Lab和McAfee二者,另外, IronPort 則運用了一項專利技術Virus Outbreak Filters,掃描所有流入郵件的可疑特徵,並指出可能會造成零時差的惡意攻擊。
防毒引擎會偵測我們丟給它們的所有東西,包括EICAR檔案(譯注:EICAR- EICAR防病毒測試檔案是歐洲電腦病毒研究機構及防毒軟體公司發展出來的,其目的在於測試防毒軟體是否可以運作正常);還有過時病毒—目前在網路上流動的惡意程式特徵,這些防毒引擎也會偵測我們在這個獨立環境之中,所撰寫出來含有病毒特徵的特定程式碼。

設備安裝與組態設定
企業級產品也許不是隨插即用,但其中一項重點就是,該設備不應需要過多的專業服務,或者要花幾小時透過電話協助才能獲取使其運作的技術支援。此外,我們對產品的評估測試,也涵蓋文件部份,以及是否可以在不透過廠商的情況底下來完成安裝作業。一旦需要技術支援的時候,我們也會評量廠商的專業程度和接洽人員的言行舉止,再加上他們對於相關知識的了解!
Ironport明顯在設備安裝這部份拔得頭籌,接著是CipherTrust,而Symantec和BorderWare則有點不太好上手。
設備安裝完畢之後,在CipherTrust和Ironport的機器上進行組態設定最為順暢,前者是在工程技術支援方面相當傑出,而後者在文件方面則表現搶眼。另一方面,這兩家的機器也較Symantec和BorderWare二者,提供了更細部的組態設定選項—通常這也代表設定上會比較複雜,時間也會消耗的比較久,不過,這應該也是要取決於你想將組態設定調整到何種程度而定,才能符合現實網路環境的運作條件。
Ironport的安裝介面打從開始就是伴隨著一個指令精靈,接著才會轉移到瀏覽器的使用介面—清爽地就只有一頁是與否的選項選單,簡潔的快選指引幫助我們一路安裝到底,這個精靈實際上就只是填空式的安裝而巳。唯一遭遇到的小小困難,就是在安裝網頁元件的最後,會因為IE瀏覽器把cookies關閉的關係而導致失敗—這點倒是沒在文件中提及!我們最後是以Firefox瀏覽器來完成整個的安裝過程,當然你也可以在IE瀏覽器中把cookies選項打開後,再進行安裝。
CipherTrust是唯一一個堅持要透過電話協助才能進行安裝的傢伙,安裝過程也還蠻順利的,裝到最後,我們的感覺是,其實只要靠自已就可以安裝的很好了!手冊內容的編排相當地有條不紊,裡頭大量的使用了機器在安裝畫面時的照片和圖片。至於安裝精靈,雖比不上Ironport那樣的完美,但也都提供指令式和瀏覽器介面引導你進行整個安裝過程。然而,在軟體的升級作業上,倒是顯得有點像是七拼八湊的感覺—你得對每個要升級的部份一一詢問安裝才行!不過,CipherTrust的工作團隊在這方面還真的是讓人感到相當地專業。
IronMail所提供之預先定義好的過濾規則最為完整,這些規則是依工業級施行作業,在反垃圾郵件和防毒方面所規範的設定。幾乎只作小部分的更改,便可以調整機器至完美的郵件防護境界,而這裡所遭遇到最大的挑戰則是新增過濾規則—需要手動鍵入指令碼,我想,如果使用精靈來協助的話,整體表現一定會更臻完美!
BorderWare在安裝上就有點困難了,機器送到我們手上的時候,並沒有任何手冊,後來當我們收到手冊時,卻發現並不是同一款型號機器的說明,幸好是還蠻相近的機型。不過,這當中並無任何照片可以表明那些裝置是網路卡,網路介面也沒有依循從右至左或從左至右的慣例—只有0,1,2不然就是2,1,0等數字。前後共花了3個小時去嘗試錯誤並測試機器反應,我們總算才了解如何使用內建防火牆丟棄ping封包的功能。而當此裝置回應HTTPS協定時,我們終於明白到底那一張網卡是巳經確實設定好的!
一旦指令型精靈完成指令時,你只會在畫面上看到一個類似DOS視窗的操作介面,不過這個介面卻缺乏功能選項的功能列表。(我們在操作過程中不小心按到一個方向鍵,才跳出另一個功能列表。)無論是文件手冊也好,還是線上安裝指引也罷,都沒有說明那兒可以選擇自動或手動安裝。
但是,在認證許可和軟體升級,以及安全程序方面,倒是一路通到底。另外,為這台機器作郵件方面的設定,只需透過一個靈巧的精靈便可以順利完成了。
BorderWare尚有提供一組預設的過濾規則,而更改設定就只消勾勾選項即可!
接著是Symantec,打一開始,Symantec機器的安裝就讓我們花了三天作故障排除,一度以為機器壞掉了!好消息是Symantec的回應:會協助處理需維修的機器,並了解我們的問題何在。後來,該公司的技術人員便自遠端登入這台機器,與我們一起又花了6個小時去解決我們的問題。最後,他們還是送來了一台巳經安裝好的新機器。
這個過程突顯出二個議題:Symantec在註冊程序上需要更彈性一點,並且還要能允許直接使用IP的方式連線。會提出這二點,是因為安裝問題起因於機器並無法指定DNS來找尋Symantec的註冊站台。因此,便無法跳到瀏覽器的介面進行操控。後來也使用了指令列,不過,Symantec很明顯地在手冊裡,將指令視窗中的指令「隱藏起來」了!技術支援人員的說法是:不希望用戶使用到這些指令集。
另外,還有兩個問題的出現,更加折磨此次的安裝:這台機器上頭的接頭擺置的位置實在是太糟糕了,以致我們只能訴諸於使用Cat3等級的網路線;而且同樣的事情也發生在螢幕線的身上,我們必須要「很巧妙地」,才能將視訊接頭插入到這台機器的連結範圍之中。
追加一點,Symantec在組態設定過程最優秀的地方就是:一旦完成指令精靈的指示,最基本的郵件設定也就隨之完成,這個優點明顯高於其他三台主機。機器預設的運作方針十分明瞭清楚,不過若是改成更具直覺式操作的設計,會使得在建立過濾規則上更簡單易懂!

操控管理能力
大體上來說,我們評斷管理的標準在於機器操作的易用性和使用靈活度,其次是集中控管的能力,特別是指管理政策,以及過濾機制的建立和更改方面,還有就是整體操作介面是否容易上手。
IronPort的機器在一開始顯示的就是內容過濾選項,有針對郵件不同的標頭進行過濾,也有掃描附加檔案,或者是作MIME型態的檢查,另外,還有就是查看郵件封套是否有問題。而檢查過濾的項目還可以拆成更細微,進行分門別類;而後再針對這些各別部分指派一連串的過濾檢驗!因此,IronPort的文件裡頭還含蓋不少範例以供實作練習使用。
在IronPort的預設過濾的種類是有限制的(白名單、黑名單、可疑名單、未知名單),而在這些種類底下的過濾選項也為數不少,包含單一連線可接受的最多信件數,標題測試和每小時共可接受多少位收件者,以及是否要啟用送件者資料庫的檢查。這些選項依次都可以設定到令人激賞的程度:像是送件者資料庫的選項,在使用手冊中就提到了有50頁。
ChipherTrust的設定和過濾規則之細,就跟IronPort一樣受人讚賞。但其實它的可貴之處,是在於CipherTrust提供了相當棒的模板,可以一下子設好所有的過濾選項。只需在最初始作更新時,便可以下載這些模板,按一下套用鈕,接著所有預設值便完全更改—一連串的反垃圾郵件設定,或是防毒設定,還是內容過濾設定,亦或其他類的設定,通通OK!而且當想到手中就有300套現成的模板可供套用,你一定會覺得安全管理原來也可以是這樣地輕鬆自在!
Symantec在過濾設定中的預設值最為簡易。當遇到垃圾信件時,Symantec的郵件過濾器會在信件標頭前加上「疑似垃圾信」的字樣。
Symantec的郵件過濾分成四種基本種類—郵件防火牆、病毒、垃圾郵件以及內容符合,而且這四類又下分2~3種的子類別。舉例來說,郵件防火牆又細分成郵件帳號蒐集攻擊(directory harvest)、垃圾郵件和病毒攻擊。(譯注:directory harvest—攻擊者藉由一個已知帳號,推測其他相關帳號,進而發出垃圾郵件的攻擊方式)當基本過濾清單調至最低等級時,用戶會自動存取BLOC所提供的服務,以獲取更細部的過濾設定。這樣一來,等同對用戶安全又多了一層保護措施。 BorderWare的機器是沿用較早先自行開發的反垃圾郵件技術Brightmail,它允許使用最簡單的過濾機制-像是黑/白名單、線上即時黑名單和信件標頭過濾,以及郵件封套測試功能,再加上統計式標記分析(Statistical Token Analysis)—貝氏過濾的一種,另外,還有一些其他過濾方式。若是你增加了Brightmail引擎選項,真正反垃圾郵件的組態設定選項才會出現;接著,你可以啟用「線上安全郵件入口」選項—這倒是相當不賴的一個功能,而且還是四台受測機器中獨有的哦!

部署擴充能力
接下來,我們要繼續評估這些機器的部署能力了!也就是要看看它們對於在網路部署上,可作何種適切的調整,包括負載平衡、叢集能力以及錯誤自動移轉,再加上是否支援LDAP等評比項目。
測試結果是所有的機器都有支援錯誤移轉的能力,也有提供負載平衡能力,並且也可以作集中式的管理。然而,只有BorderWare被設計成只要使用它自身的HALO程式,便可以具有叢集、錯誤移轉和負載平衡等多種能力。其餘的,只是支援外部負載平衡裝置而巳,而且還得先設好MX參數才能支援錯誤自動移轉的功能。所有的四部機器,通通都有提供集中式管理平台,用來支援分散式多重裝置部署。
除了Symantec外,其他都有支援工業標準級的LDAP目錄協定;Symantec目前只有支援SUN的JAVA Messaging System(前身是iPlanet)以及微軟的Active Directory。
最後便是所有廠商提出的解決方案,都能夠支援全球跨國性企業!

回報機制
在這部份,所有機器的回報機制和記錄檔管理都還算差強人意,不過,這也卻是我們綜觀所有的評比測驗中,最令人失望的一個部份了!
CipherTrust是這當中表現最好的,它允許觀看主機記錄檔和回報內容,但是欠缺可以自訂格式的能力:也就是必須先匯出記錄檔後,再用外部的報告產生程式,如Crystal Reports,才能讀取所要的資料。此外,匯出的記錄檔格式還得為CSV格式才成!
IronPort在此部分排名則緊跟其後,雖然它要將記錄檔解開是一大挑戰,但是IronPort卻擁有豊富的記錄檔和報告內容。不過,同樣在自訂報告和匯出能力上,不合乎我們要求的標準。
Symantec提供非常華麗的報告內容,但還是沒辦法有自訂能力。而其記錄檔顯得比較平實一點,必須匯出到另一台系統記錄伺服器才能讀取。
BorderWare所提供的記錄檔資料最少,報告內容還稍微好一點。它支援少部份的自訂功能,還有只能先進到管理介面,再透過電子郵件的方式,才能匯出報告。


擇你所愛
大體說來,我們對這次受測機器印象深刻。所有機器都可在全區範圍內進行多重裝置的部署,我們也發現在眾多測試過的安全裝置當中,這些主機是可以抵抗得住我們的入侵意圖。
就創新方面來講,我們會欣賞CipherTrust或是IronPort所提出的解決方案,因為兩者有提供比較豊富多樣的混用功能,並且擁有世界一流的反垃圾郵件技術,另外,在使用者操作介面上也相當地成熟易用。
至於BorderWare對中大型的部署來講,是較為實用的選擇,尤其它提供了負載平衡和錯誤自動轉移能力;而就叢集方面來講,更使得BorderWare的解決方案,突顯出它易於擴充的能力。另外,它所採用其他廠商的反垃圾郵件和防毒技術,也讓BorderWare的產品備受期待!
Symantec提出的解決辦法,在部署方面,是經試驗而證實為可行的方案。雖然在技術創新方面非Symantec的強項,但是,總體的風采和強力的支援後盾成為它的優勢!
正當垃圾郵件、網路釣魚和病毒攻擊到處肆虐的同時,技術成熟的產品可以保你免受其害的! 技術編輯TOM BOWERS,持有CISSP、PMP、CEH等證照,目前在財星前100大的製藥公司中擔任資安主管。如對本文有任何建議與指教,歡迎來信至iseditor@asmag.com