多重網域的垃圾信防制與郵件資安架構─以金控公司資訊整併應用為例

企業電子郵件飽受垃圾信影響已是眾所皆知的事實。根據IDC日前公布的「2003至2007年全球電子郵件使用預估報告」中顯示，2003年全球流竄的垃圾郵件高達3兆6億多封，預計到2007年將會成長到1.7倍，達6兆多封信。由此可見，垃圾信對企業運作效率的影響將不言可喻。
進一步分析台灣地區的垃圾信發展趨勢，根據國內知名郵件軟體廠商網擎資訊 （Openfind Information Technology, Inc.）針對台灣地區垃圾信來源比對分析的結果顯示，有六成的垃圾信來自亞洲鄰近國家，其中中國大陸佔了四分之一、印度（5.4％）、南韓（5.1％）以及台灣本身（16.5％）都是來源大宗。且近年來台灣地區垃圾信問題以驚人的速度逐年成長，以Mail2000付費信箱為例， 2005年垃圾信件佔全部信件比例攀升到接近90％，相較於去年同期只佔 50％。同時，透過Openfind MailGates郵件防護系統做進一步比對分析，假日垃圾信量比平日多了約10％至15％，而主要發信地點除了六成來自亞洲地區外，中南美洲的巴西與烏拉圭（17.8％）與美國（8.0％），都是主要來源地區。從上述的數字可以看出，垃圾信的問題有其地域性，如何有效解決台灣地區日益嚴重的垃圾郵件，是所有IT人員必須正視與處理的問題。

因地制宜才能對症下藥

因此，如欲有效針對台灣地區提供垃圾信防制方案，應針對台灣地區郵件使用行為提供在地化的分析技術，確實掌握區域性的垃圾信特徵與變形趨勢，並具備中英文信垃圾郵件的內容比對以及樣本蒐集能力，才能提供台灣用戶較高垃圾信防制效果並降低誤判率。
為有效遏止日益氾濫的垃圾信件問題，除採用郵件內容偵測的方式外，更應加強主動式SMTP連線阻隔能力，透過SMTP連線行為判斷，主動將垃圾信排除在大門之外，可避免大量垃圾信件湧入系統內所耗用的頻寬與軟硬體資源。根據Openfind本次調查的結果顯示，MailGates採用連線區域評價及連線行為分析等技術，在Mail2000付費信箱每天超過上百萬封的信件傳輸過程中，先行於 SMTP 連線階段有效阻擋30％至40％的不正常連線，可大幅降低系統負擔。由此可見，優良的郵件防護系統應具備多樣化的防護能力與過濾機制，才可以真正讓用戶免於垃圾郵件的困擾。

從垃圾郵件發送的源頭就阻擋

這麼多的垃圾信在Internet之間流竄，企業最直接的感受就是信件傳輸的速度變慢了，由垃圾信湧入企業郵箱佔用了頻寬資源，甚至會造成客戶的信件往往要延遲好一陣子才收得到；除此之外，收信匣裡面多了一堆不請自來的電子郵件，每天上班的第一件事就是勾勾刪刪垃圾信後，才能開始一天正常的工作。為了解決垃圾信的問題，已有不少企業投資了大筆的資訊預算在垃圾信防制系統上，更耗費了許多人力、時間的成本，多半也只看到初步的成效。員工在收發信時的速度卻仍舊遲緩，企業的頻寬成本持續高居不下，甚至硬體投資也持續不斷投入。於是企業就會產生以下的疑惑─『不是已經建立垃圾信防制系統了嗎？照理說，垃圾信應該就會被排除在系統之外了，怎麼電子郵件伺服器網路頻寬與相關之硬體支出仍舊持續增加呢？』

為了解答這個疑惑，我們先簡單說明SMTP收發信件的流程。當一封電子郵件傳送到伺服器的時候，整個SMTP收發信件流程大致可分成兩個階段：
1.SMTP連線階段（Mail Envelope）
這是郵件伺服器收信的第一道程序。郵件伺服器會先得到SMTP連線來源IP、EHLO網域名稱、寄件人（Mail From）以及收件人（Rcpt to）。這些資訊可以歸類成所謂的Mail Envelope，所佔的頻寬相當少，最多就是數十個Bytes而已，但已足夠提供垃圾信防制系統進行第一層的過濾了。
2.信件內文接收階段（Mail Body）
接下來的程序是信件內文的接收，這部分就是信件實際的主體，包括了標題、本文、附檔等相關資料。這些資料是信件真正佔用頻寬的元兇，因為我們在閱讀信件時看到的文字、圖片、附檔與連結等所有的相關資料，都是在這個階段接收進來的。
垃圾信的種類與手法相當多，但追根究底仍是一種電子郵件，也是建構在SMTP收發信通訊協定上的。因此，所有垃圾信防制的作法，皆與SMTP收發信流程脫離不了關係。

除了擋垃圾信、更要節省頻寬

在對於SMTP收發信件的流程有了簡單的認知之後，我們再回頭想想看，為什麼垃圾信防制系統明明已經阻擋了百分之七八十的垃圾信，頻寬卻仍然被垃圾信佔掉這麼多呢？有概念的讀者應該已經想到問題的癥結了。如果垃圾信防制系統是在SMTP收信流程全部完成之後，才開始利用內文判斷是否為垃圾信，對於頻寬的節省並沒有實際的助益，因為該郵件已確實收進企業網路中了。此外，由於大量信件進入垃圾信防制系統後，往往衍生出需要提升硬體配備，造成企業成本的額外支出。
如果希望將垃圾信阻絕在企業網路大門之外，以便協助企業節省頻寬與硬體升級成本，最好的方式就是在SMTP收發信件流程中的SMTP連線階段，就將判斷出的垃圾信直接排除在系統外，而不是等到整封信件都收下來後再執行貝氏過濾、標題及網址過濾等內容比對相關機制。如此一來，不僅可以節省系統資源，讓垃圾信處理流程能夠更加快速完成，亦可有效提升電子郵件系統整體運作效能。

垃圾郵件始終來自於垃圾堆

或許有人會質疑，光是憑Mail Envelope得到的少量資訊，怎麼能斷定這封信是垃圾信呢？事實上，在這個階段中得到的資訊雖然不多，但大多十分重要，某些資訊例如IP與收件人（Rcpt to）是無法偽造的，因此，這些資訊對於垃圾信防制而言是相當有用的。以Openfind MailGates郵件防護系統來說，光是SMTP 來源IP就有系統黑白名單、即時黑名單（RBL, Real-time Blocking List）、單一IP來源連線頻率限制，動態位址（Dynamic IP）等過濾方式可以應用；另外，得到Rcpt to欄位資料之後，就能採用使用者自定的各類黑白名單進行過濾。如果能夠妥善掌握這些重要的連線資訊，就能在垃圾信進入企業網路之前直接排除，讓垃圾信防制的效果最佳化。
根據筆者在企業客戶線上實機上統計出的數據，在一般的情況下，垃圾信防制系統在SMTP第一階段可以判斷出約25％左右的垃圾信。換句話說，如果在這個階段就直接將垃圾信排除掉，可以替企業節省四分之一的頻寬！在特定大量SMTP連線的環境下，甚至可以達到75％的攔截率，幫企業節省四分之三的頻寬。

MailGates 在多網域、多伺服器系統架構下的應用

因為組織架構調整及業務上的需要，許多中大型企業例如金控公司或跨國性組織，通常擁有多個不同網域主機，並建構多台郵件伺服器來收發郵件。對於多網域、多伺服器的郵件系統而言，Openfind MailGates郵件防護系統可帶來絕佳的系統防護與成本效益。由於MailGates的優秀電子郵件收發效能，輔以多台共同運作的Load Balance架構，讓企業可以放心將原本分散在多個網域、多台郵件伺服器的流量集中在MailGates上，透過MailGates提供第一線的郵件安全防護與垃圾郵件過濾。這樣不但可以降低企業郵件系統風險，更可節省大量昂貴的頻寬與硬體成本。

結語

倘若垃圾信防制系統能帶給企業的助益，單單只是判斷收進來的信件是否為垃圾信的話，定義未免太過狹隘。尤其是對於擁有多重網域與多重伺服器的中大型企業而言，應妥善考量垃圾信防制系統是否能與後方郵件伺服器順利整合，尤其必須具備與多網域、異質郵件系統（如Microsoft Exchange Server、Openfind Mail2000及Sendmail…等）的快速整合能力。由於整合後的信件流量龐大，除了關心攔截率與誤判率的高低之外，更應該額外考量導入的系統是否能有效幫企業降低頻寬成本，進而降低郵件資安的軟硬體投資，並為後續的郵件稽核及備份架構做好良好的準備。對於具有多重網域或多重伺服器的金控公司與企業組織，可以利用MailGates建構出更安全、更乾淨、更具有投資效益的郵件防護系統。