Symantec-Mail-Security-for-Exchange-4.6技术白皮书.doc

Symantec Mail Security For Exchange 4.6技术白皮书2005年3月 Symantec 和 Symantec 徽标是 Symantec 公司和/或其附属机构在美国和其他国家或地区的注册商标。“Symantec”及“赛门铁克”是 Symantec 公司在中国的注册商标。其他公司和产品名称可能是其各自公司的商标或注册商标，特此致谢。版权所有 2004 Symantec 公司。保留所有权利。目 录一、产品定位和功能描述3二、产品工作原理、部署和管理方式32.1、产品结构和工作原理32.2、产品部署模式42.3、产品管理模式4三、产品的主要技术特点5四 系统需求14一、 产品定位和功能描述Symantec Mail Security for Microsoft Echange 4.6结合了内容过滤、防垃圾邮件和业界领先的防病毒技术提供广泛的、集成的邮件安全解决方案，利用自动扫描和修复能力，它用最少的管理提供高性能的病毒防护，改进的内容过滤以及集成的防垃圾邮件功能防止不需要的内容来自网络的任何地方，同时防止机密信息外泻。Symantec Mail Security for Microsoft Exchange 4.6由赛门铁克安全响应中心支持世界领先的研究和响应机构。二、 产品工作原理、部署和管理方式2.1、产品结构和工作原理对于发送到 Microsoft Exchange 服务器上的邮箱和公用文件夹中的消息正文和附件， Symantec Mail Security for Microsoft Exchange 4.6会进行扫描。当您执行标准扫描时，Symantec Mail Security for Microsoft Exchange 会分解文件，并使用已知病毒特征的病毒定义文件对它们进行病毒扫描。Symantec Mail Security for Microsoft Exchange 还会使用 Symantec Bloodhound 启发式技术来对不存在已知定义的病毒进行扫描。Bloodhound启发式技术会寻找自我复制这样的异常文件行为，以发现可能受感染的文件。通过购买额外的服务许可，增加的SPA（Symantec Premium AntiSpam）技术能够为用户提供世界最领先的Brightmail反垃圾邮件技术。通过集成多达20多种过滤技术，在不需要用户进行人工干预的情况下，能够获得95以上的有效性和业界最低的百万分之一的误报率。当您创建过滤子策略并将其应用于扫描作业时，您指定的项目将与消息内容、特征和属性进行比较。 属性包括发件人、主题、附件文件名称和附件文件大小。Symantec Mail Security for Exchange 的工作原理结构图如下：2.2、产品部署模式直接安装在MS Exchange Server 上，支持Exchange 2000 with SP3以上及Exchange 2003。包括支持结合API2.5和新的垃圾邮件分类方法Spam Confidence Layer (SCL).2.3、产品管理模式可通过IE浏览器管理单台服务器，也可以通过多服务器控制台同时管理多台Exchange服务器，当通过多服务器控制台管理时，可以很容易将配置同时发送到多台服务器上。多服务器控制台使用MMC接口。Symantec Mail Security for Microsoft Exchange支持将事件转发到 Symantec Enterprise Security Architecture (SESA)。SESA 是一个事件管理系统，它使用数据收集服务收集 Symantec 安全产品生成的事件。三、 产品的主要技术特点 3.1 主要特点概括: 包含防垃圾邮件、内容过滤和业界领先的防病毒等广泛的解决方案。 自动检测和清除病毒，防护快速传播的宏病毒，保护Exchange服务器受到病毒的威胁。 从赛门铁克安全响应中心自动更新病毒定义码到最新病毒库。 不需要重新安装软件就可防护最新的病毒，减少管理成本。 支持Microsoft Exchange 2000 和 Microsoft的病毒扫描接口 API 2.0以及Microsoft Exchange 2003 和 Microsoft的病毒扫描接口 API 2.5和和新的垃圾邮件分类方法Spam Confidence Layer (SCL)。 增强的防垃圾邮件功能。通过SPA（Symantec Premium AntiSpam）技术能够提供世界最领先的Brightmail反垃圾邮件技术。通过集成多达20多种过滤技术，在不需要用户进行人工干预的情况下，能够获得95以上的有效性和业界最低的百万分之一的误报率。 该服务独立于 Symantec Mail Security for Exchange 进行销售和授权许可。 防垃圾邮件规则每510分钟自动更新一次，实时获得最新的防垃圾邮件规则，且不需要人工干预。 自动过滤不适当的附件名、扩展名或内容，减少Exchange服务器的流量，提高效率。 远程安装和中心管理以及报警都支持多台Exchange服务器，减少管理负担。 附加的Exchange Folder Agent和Outlook Plug-In组件简化了垃圾邮件的处理流程，减轻了管理员的管理负担。 用新的零管理模式设置使管理和配置时间最小化。 提供主动的爆发通知功能，使在病毒被识别和得到病毒定义码之前管理员能迅速响应和处理。3.2 集成防垃圾邮件 支持第三方的黑名单(MAPS, etc.) 用户可用多个黑名单来过滤，Internet上有超过125个公开的实时黑名单列表。 定制的白名单和黑名单匹配列表 管理员可处理用户、收件人、发件人、合作伙伴以及其他条目的域列表（白名单）和不需要的通讯（黑名单） 专门的接收的内容过滤规则 管理员可设置规则扫描接收的邮件包括内部和外部的，节约时间保护带宽。 启发式垃圾邮件检测-对所有进入服务器的邮件做基于垃圾邮件关键特征的检测，以提高客户端使用效率，节省网络带宽和邮件存储空间。 垃圾邮件的多处理方式-依照垃圾确定的级别作不同方式的处理。包括：丢弃、记录、消息标记选项 (如 “SPAM” 加到标题当中)、阻止发送原收件人、插入定制的标题作为这种邮件行动的描述、发送给原收件人或是一个公共的目录。这样能最大的识别垃圾邮件能力和的处理方式。 垃圾邮件的统计功能-基于垃圾邮件安全级别的分类统计，垃圾邮件按照发送域的查询，可以按照字母顺序、发送的比率和发送的数量来分类。能快速的定位垃圾邮件的趋势和发送的域名。3.3 SPA（Symantec Premium AntiSpam）服务Symantec Mail Security for Microsoft Echange 4.6与以往版本的最大区别就是引进了专业的防垃圾邮件技术，使Symantec Mail Security for Exchange成为一款在防病毒和防垃圾方面都具有世界领先水平的专业邮件安全防护产品。通过购买额外的服务许可，增加的SPA（Symantec Premium AntiSpam）技术能够提供世界最领先的Brightmail反垃圾邮件技术。通过集成多达20多种过滤技术，在不需要用户进行人工干预的情况下，能够获得95以上的有效性和业界最低的百万分之一的误报率。Symantec Mail Security for Microsoft Echange 4.6 利用Symantec全球领先的BLOC（Brightmail logistics and Operations Centers）中心保证了反垃圾邮件解决方案的高有效性和准确性。作为全球类似机构中最大的垃圾邮件分析中心，其负责Symantec垃圾邮件过滤器的实时创建、调整和分发。BLOC由遍布全球三个大洲的几个中心点所构成，完成覆盖全球的对垃圾邮件的全天候防御。它有复杂高效的自动化反垃圾邮件工具，并由来自于全球各地的技术专家进行监控，对最新的垃圾邮件及其各种变种进行分析，根据其特点创建过滤器，并将其发布到客户站点上以便实时侦测和过滤掉垃圾邮件。这种自动化工具和技术专家相结合的方式尤其重要，专家会对垃圾邮件的识别侦测和过滤器进行最终确认，使得Symantec反垃圾邮件解决方案能够最快的跟进垃圾邮件的不断变化，提供了无与伦比的灵活性，并最大程度的保证了反垃圾邮件解决方案的两个要素：有效性和准确性。 BLOC所分析的真实的垃圾邮件来源于已经申请专利的 Probe Network (侦测网络)技术架构，侦测网络具有200万个以上的诱骗邮件地址和邮件域，吸引垃圾邮件发送者不断的向侦测网络发送他们真实的垃圾邮件。 加上由用户提交的垃圾邮件，侦测网络监视和保护全球超过3亿个邮箱。每个月都有几千万的真实垃圾邮件发送到侦测网络，随后这些邮件被送到BLOC，自动化的工具和技术专家将联合分析这些邮件，并开发出有效的过滤器。垃圾邮件反发垃圾邮件之间早已是时间速度方面的战争，侦测网络作为整个行业最大的捕获真实垃圾邮件的技术架构，使得Symantec在垃圾邮件发生的第一时间就能进行捕获和分析，从而为全球范围内的用户提供实时全面的邮件防护。SPA提供如下过滤技术进行垃圾邮件的识别与过滤：Symantec可信度服务（Symantec Reputation Service）：Symantec监控电子邮件来源以确定从这些来源发出的邮件的合法程度。然后，根据 Symantec确定的这些来源的声誉值禁止或允许从这些来源发出的电子邮件。 Symantec使用以下列表过滤邮件： 开放代理列表：包含身份确定中继的 IP 地址的动态数据库，其中包括具有开放端口或不安全端口的代理服务器。 安全列表：从中发出的电子邮件几乎都不是垃圾邮件的 IP 地址 列表。 可疑列表：从中发出的所有电子邮件几乎都是垃圾邮件的 IP 地 址列表。 可疑垃圾邮件阈值：高级反垃圾邮件服务为每个邮件都计算了一个垃圾邮件分数 （从 1 到 100）。如果邮件分数为 90 到 100，则被定义为垃圾邮件。此范围不可配置。为了进行更主动的过滤，可以将垃圾邮件阈值定义在 24- 90 之间，以确定可疑垃圾邮件。可以单独指定处理垃圾邮件和可疑垃圾邮件的操作。 语言确定：高级反垃圾邮件服务可以确定撰写过滤邮件所使用的语言。您可以对高级反垃圾邮件服务进行配置，以自动将用特定语言撰写的邮件发送到收件人邮箱中的垃圾邮件文件夹。要使用该功能，必须将 Microsoft Outlook 的可选插件部署到网络中的台式机上。在 Symantec Mail Security for SMTP 安装光盘中提供了该插件。过滤器：高级反垃圾邮件服务支持下列过滤器类型： URL 过滤：Symantec 根据垃圾邮件中显示的 URL 生成已知垃圾邮件发件人列表。该表包含 20,000 多个 URL。 启发式过滤：启发式过滤器可以扫描邮件标头和正文，以测试垃圾邮件中通常固有的特征，如选择性退出链接、特定短语和伪造的邮件标头等。 特征签名过滤：使用添加到已知垃圾邮件的数据库中的唯一特征签名来判别发送到Symantec Brightmail Logistics and Operations Center (BLOC) 的邮件的特征。使用该特征签名，Symantec可以将源自单个攻击的表面上随机的邮件进行分组和匹配。3.4 改进的内容过滤用 Dynamic Document Review (DDR) 内容过滤的专利技术 对管理员“怀疑的”文件扫描 (如 “.mpg” 伪装成为 “.doc”). 扫描附件不适当的内容。 对被过滤掉的文件，基于词或词组有违反DDR的说明。3.5 先进的防病毒保护 对病毒、蠕虫、木马和混合型威胁提供新的防护工具 在病毒到达用户之前检测和清除批量邮件病毒，如Klez 和BugBear。 扫描通过Exchange Server 作为POP3发送的消息，提供额外的保护。 通过LiveUpdate 自动升级解码引擎，因此不需要安装新的解码引擎版本 通过邮件给病毒发件人发通知，警告发件人有可疑的病毒。 对怀疑为批量邮件爆发的病毒有隔离的能力，即使病毒定义码还没有到，也可扫描和隔离可疑的邮件。 3.6独特的扫描和修复引擎 Symantec Mail Security engine 不需要大的更新可检测新类型的病毒，管理员只需要将新的病毒定义码升级就可以，不需要卸载和重新安装软件。 一个点击就可以扩展扫描引擎，节约宝贵的人力资源。 3.7 启发式扫描技术Bloodhound 使用改良的启发式扫描技术允许干净的文件通过服务器而阻止带毒的文件。 3.8 Striker 专利技术 用Striker专利技术可检测如“变色龙” 之类的加密多变形病毒，这些多变形病毒会躲避一般的病毒检查方法。 3.9 管理简单 多服务器管理使管理员从一个控制台同时管理多台Exchange 服务器，在多台服务器上同时更新配置。 高级策略管理对各种威胁给管理员提供很容易的配置，包括病毒、不适当的内容以及垃圾邮件等。使他们定制策略符合企业业务的需求。 心跳状态对所有的服务器提供连续的状态监控。 服务器状态和快照提供强健的日志、报告、可配置的用户通知以及统计功能，使安全人员知道在网络环境中病毒的活动状况 用户界面安全等级可使管理员设置各种访问级别，基于用户的权限可访问特定的任务，如检查病毒定义和报告等。 零维护管理通过使用新安装设置减少日常的产品维护. 启发式爆发管理可使管理员定义规则触发警报，并且当爆发时采取特定的措施。 3.10 增强的垃圾邮件管理工具通过Symantec Mail Security For Exchange光盘提供了两个额外垃圾邮件管理工具Exchange Folder Agent和Outlook Plug-In软件，可以极大的简化垃圾邮件的管理流程。使用Exchange Folder Agent可以为Exchange Server邮件系统的每一个用户创建一个“Spam”文件夹，并且将每一封识别为垃圾邮件的邮件发送给相应用户的垃圾邮件文件夹中，由用户自己决定是否删除、恢复或者提交垃圾邮件，并且报告误报为垃圾邮件的正常邮件。使用Outlook Plug-In插件， Outlook用户可以轻松地将错过的垃圾邮件和误报提交给Symantec。根据用户配置插件的情况，用户的有关提交还可以自动发送给本地系统管理员。 此外，利用Outlook插件，用户还可以选择管理自己的“禁止的发件人列表”和“允许的发件人列表”，以及指定希望接收用哪些语言撰写的邮件，或不希望接收用哪些语言撰写的邮件。利用这两种工具可以将管理员从繁重的垃圾邮件维护工作中解脱出来，真正实现“零管理成本”。 3.11快速、自动的病毒解决方案独特的扫描和传送- 当隔离一个新的、不可修复的病毒文件时，扫描和传送可防止进一步感染，同时将病毒样本发送到赛门铁克安全响应中心，然后： 自动分析病毒，返回修复方案（病毒定义码） 使管理员将新的病毒定义码迅速分发到所有Microsoft Exchange Servers 上。 使所有Symantec AntiVirus 的用户都能迅速获得病毒定义码。 3.12稳定的、高性能的解决方案 利用Microsofts VSAPI 2.0/2.5 技术，Symantec Mail Security for Microsoft Exchange 可： 在邮件进入收件箱之前扫描所有接收的邮件，提供更完全的实时防护。 当通过Exchange Information Store 时扫描所有发送的邮件，减少病毒传播。 扫描速度快改善服务器性能 精确报告和记录所有的感染。 支持Exchange cluster 配置，包括“活动/备份”和“活动/活动”的Cluster 配置 3.13强大的扫描和修复选项 主动的防病毒过滤 通过制定附件名、扩展名和标题可自动过滤邮件 过滤还可防护其他类型的攻击，防止网络瓶颈和保护邮件存储空间。 扫描窗口 可调度扫描 对于大的企业可在所有服务器上轮回。 增量扫描-通过下列方法减少重复多余的扫描 对每个被扫描的文件做标记 仅仅这些文档是新的或被改过才再次扫描。 压缩文件扫描-扫描和修复下列格式的压缩文件： Zip MIME/UU LHA/LZH ARJ CAB PKLite LZEXE 调度- 提供下列方式的、灵活的调度扫描： 启动时 病毒定义更新时. 一个月的指定的天数 对服务器的影响最小-有下列一系列的特点： 自动防护 扫描和清除邮件附件病毒，而不是发送到其他NT/2000机器上扫描 一次扫描 保证邮件附件只扫描一次，无论收件人是多少都是如此。 调度扫描 允许在非高峰时间扫描。 3.14公共文件夹选项管理员可选择全部或部分公共文件夹来扫描 3.15灵活的、集中化管理 远程管理 提供灵活的、易用的基于HTML的管理界面，管理员可在任何浏览器配置和管理Symantec Mail Security for Microsoft Exchange 灵活的集中化警报 当检测到可疑的