在规划电子邮件安全策略时采取的措施

Q：我在规划电子邮件安全策略时应采取什么样的措施来确保安全？

A：由于受到病毒、木马程序乃至间谍软件的威胁，再加上电子邮件现在已经成为了主要的攻击目标，许多组织都在采取多层的防御手段。这些分层的防御手段有包过滤防火墙、电子邮件防火墙和非军事区（DMZ）邮件服务器。

第一层防御——能够保护底层网络的最佳防护层，并且对基于网络的应用程序提供了关键性的防护——这就是包过滤防火墙。这种类型的防火墙可以配置为只允许特定类型的入站数据包发送到防火墙保护下的内部主机的指定端口上。例如，在防火墙上可能会配置允许TCP端口25上的入站数据包到DMZ邮件服务器，以及TCP端口80和443上的入站数据包到DMZ Web邮件服务器上。

第二层防御来自于电子邮件防火墙，它是应用程序级的防火墙。这种类型的防火墙工作在协议栈的更高级别。它不仅了解SMTP传输，而且还可以通过扫描每封邮件的表面和内容来检测垃圾邮件、钓鱼式攻击和病毒的威胁。电子邮件防火墙通常能够非常牢固地防御基于SMTP的攻击（例如缓冲区溢出攻击），所以DMZ邮件服务器对于此类攻击不容易受到威胁。电子邮件防火墙会保护电子邮件系统（也就是提供邮件服务的计算机系统），使内部用户免受信箱中有害邮件的威胁。

要注意的是电子邮件防火墙必须提供更加全面的反病毒能力，这样才能对已知或未知病毒提供有效的防护。许多反病毒软件都是被动式的，然而，由于目前病毒的传播过于迅猛并且许多病毒都具有多种形态，被动式的防御已经不能满足需要了。反病毒软件还必须能够提供启发式扫描，这也就意味着它能够根据关键性特征来识别出病毒而不需要知道确切的特征。虽然被动式扫描还在病毒防御中占据着一席之地，但是在实时防御与零天威胁（zero-day threats）的对抗中要求反病毒软件具有启发式的扫描功能。

第三层的防御来自正确配置的DMZ邮件服务器。这台服务器应该只接受目标为它所拥有的域——也就是发给内部用户的邮件。此法可以防止垃圾邮件发送者利用邮件服务器为垃圾邮件进行中继。DMZ邮件服务器应该非常坚固，这样才能够使那些越过电子邮件防火墙的邮件攻击（例如那些电子邮件防火墙接受并传递到DMZ邮件服务器上的无效邮件）无法得逞。

最后，来自其它层次的防御也会对防护有所帮助，例如入侵检测系统和独立的DMZ Web邮件服务器，因为Web 邮件服务器通常会运行复杂的Web应用程序，它们经常会提供一个可保全内部系统的攻击路线。