MSG 240 企业 如何有效阻挡 SPAM 与 SPIM

1. MSG 240企业如何有效阻挡SPAM与SPIM 胡义 咨询顾问 上海星移软件有限公司

2. 概述 • 垃圾邮件问题 • Exchange如何阻挡垃圾邮件 • 现有方法及面临的挑战 • Sender ID & SPF • 新的危机——SPIM • LCS如何帮助企业阻挡SPIM • IIMF for LCS • 总结

3. 垃圾邮件问题 • 垃圾邮件占了70% 电子邮件流量 • 仅三年前才8% • 每天有145亿封垃圾邮件 • 每年消耗全球商家205亿美元 • 威胁安全和隐私 • 病毒 • 盗取身份证件内容 • 低投入+高利润+匿名

4. 企业对阻挡垃圾邮件的需求 • 误报: 首要顾虑 • 尽量在网关阻挡 • 使用户看不到 • 减少对网络带宽和其他系统资源的影响 • 对管理的要求 • 端对端的解决方案 • 简化管理 • 公司和最终用户之间的平衡

5. Exchange如何阻挡垃圾邮件

6. 现有方法

7. 现有方法 Exchange Server 2003 用户 自定义的 安全/阻止 发件人 收件箱 Outlook 内容分检 网关服务器 Transport 邮箱服务器 Store 用户 自定义的 安全/阻止 发件人 垃圾邮件? 接受/拒绝列表 实时阻止名单 (RBL) SMTP 邮件 垃圾邮件 文件夹 垃圾邮件? 发件人/收件人 过滤 Outlook 2003 用户 自定义的 安全/阻止 发件人 智能过滤器 (IMF) 第三方产品 垃圾邮件 文件夹 收件箱 Message + SCL SCL = Spam Confidence Level 垃圾邮件信任级别 Exchange 2003 OWA

8. 启用过滤器后的邮件流 • telnet mail1.contoso.org 25 • 连接控制 • EHLO domain.com • MAIL FROM: joe@domain.com • 全局接受列表 • 全局拒绝列表 • 发件人过滤 • RCPT TO: sally@contoso.org • RBL特例收件人 • 收件人过滤 • RBL过滤 • 过滤不存在的收件人 • DATA <CRLF>.<CRLF> • EOD • 检查From字段(P2)满足发件人过滤 • 智能邮件过滤器网关阈值

9. 现有方法的局限性 • 发件人过滤 • 没有实际应用价值 • 收件人过滤 • 无法避免Harvest攻击 • 连接过滤 • 如果Exchange不做为邮件网关？ • RBL • 严重依赖于Black List提供商 • 不及时

10. Exchange 2003 SP2 给我们提供什么 • 连接过滤 • SMTP过滤 • 内容过滤 • 入站邮件处理规则

11. Exchange 2003 SP2 AntiSpam • 连接过滤 • Exchange 2003可以不作为邮件网关 • SMTP过滤 • SMTP tar pit • 内容过滤 • IMF —— Anti-Phishing • Custom Message Weight • Sender ID Filtering

12. Sender ID Filtering

13. Sender ID 记录 • example.com TXT “v=spf1 -all” • 该域不会向外发送邮件 • example.com TXT “v=spf1 mx -all” • 入站SMTP服务器同样用于向外发送该域的邮件 • example.com TXT “v=spf1 ip4:192.0.2.0/24 –all” • 仅仅允许来自特定地址段的IP向外发送该域的邮件 • example.com TXT “v=spf1 mx include:myesp.com –all” • 外包 • example.com TXT “spf2.0/pra ip4:192.0.3.0/24 –all” • PRA 检测

14. Sender ID 记录

15. Sender ID 实例 X-Gmail-Received: d43ef46a568dee920d77e8fdd847c55ef7706134 Delivered-To: abby.hu@gmail.com Received: by 10.38.206.46 with SMTP id d46cs7866rng; Sat, 25 Dec 2004 03:11:04 -0800 (PST) Received: by 10.38.67.76 with SMTP id p76mr241897rna; Sat, 25 Dec 2004 03:11:03 -0800 (PST) Return-Path: <bomt_zhang@hotmail.com> Received: from mail16.hi5.com (mail16.hi5.com [66.28.245.61]) by mx.gmail.com with ESMTP id 79si63813rna; Sat, 25 Dec 2004 03:11:04 -0800 (PST) Received-SPF: softfail (gmail.com: domain of transitioning bomt_zhang@hotmail.com does not designate 66.28.245.61 as permitted sender) Received: from sherry (10.100.10.66) by mail16.hi5.com (PowerMTA(TM) v3.0r4) id hpl56806tqof; Sat, 25 Dec 2004 03:09:23 -0800 (envelope-from <bomt_zhang@hotmail.com>) Message-ID: <31457423.1103973064306.JavaMail.root@sherry.hi5.com> From: Bomt Zhang <bomt_zhang@hotmail.com> To: abby.hu@gmail.com Subject: Invitation Mime-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_Part_346527_12224381.1103973064284"

16. Sender ID

17. Exchange 2003 SP2 AntiSpam

18. 部署实例 – 微软IT • 两个 SMTP 虚拟服务器 • 对进出两个方向的邮件作不同的处理 (身份验证, 过滤) • 先过滤垃圾邮件再检查病毒 Exchange 2003 网关 Exchange 2003 Routing HUBs 邮箱服务器

19. 新的危机——SPIM • 什么是SPIM? • IM + SPAM • Spim呈爆炸性成长 • 2004年底15亿条 • 威胁 • 通过IM传播病毒 • 通过IM发布广告 • 嵌入IM的超文字链接

20. LCS如何帮助企业阻挡SPIM • LCS 2005 SP1内建IMFilter • LCS 2005 SP1提供额外插件 • 智能即时消息筛选器 • 增强的 URL 筛选功能 • 增强的文件筛选器控制 • 记录功能

21. 智能即时消息筛选器 • 增强的 URL 筛选功能 • 阻止所有 Intranet 和 Internet 超链接 • 阻止包含超链接的即时消息 • …… • 增强的文件传输控制 • 阻止特定文件扩展名的文件传输请求 • 阻止所有文件传输请求

22. IIMF for LCS 2005 SP1

23. 总结 • 在和垃圾消息的斗争中没有万能药 • 在这场斗争中，微软公司不断增加阻挡垃圾邮件的新功能和不断创新技术 • 我们的目标是通过结合微软公司和第三方合作伙伴的产品，为减少垃圾邮件提供更加完善的端对端解决方案

24. The Sender ID Framework • Exchange 2003 Product Team Blog • LCS 2005 IIMF Overview