Microsoft 內部如何替訊息中心保健

IT 經驗分享

發佈日期: 2005 年 12 月 28 日

IT 百寶箱標誌


這張卡深入探討 Microsoft Information Technology (Microsoft IT) 如何利用 Microsoft® Exchange Server 2003 技術、Microsoft Office Outlook® 2003 和協力廠商產品,管理隨著網際網路電子郵件流量而來的大量不受歡迎的電子郵件 (垃圾郵件) 以及遭到惡意軟體 (惡意程式碼) 感染的訊息。這個解決方案從閘道層進行篩選,減少了透過企業傳訊基礎結構傳送的垃圾郵件。這個解決方案也針對其他的郵件移除如病毒、蠕蟲、檔案附件夾帶等傳播途徑帶來的威脅。

本页内容

優點摘要
垃圾郵件與惡意程式碼的威脅
採行的訊息中心保健技術
最佳作法
Microsoft IT 的全球環境

優點摘要

Microsoft IT 用訊息中心保健一詞代表對付電子威脅的整體預防機制。目前 Microsoft IT 採取的訊息中心保健法具有下列優點:

  • 減少訊息中心保健伺服器數量 (伺服器數量減少近半),因而降低總體擁有成本 (TCO)

  • 免除添加傳訊基層結構的必要性,連帶降低 TCO

  • 提供多層次服務層和使用層篩選選項

  • 減少內送網際網路電子郵件量達 85%,提升員工生產力

垃圾郵件與惡意程式碼的威脅

橫行的垃圾郵件與惡意程式碼 (包括病毒、蠕蟲、特洛依木馬程式、巨集、指令碼和未經授權的 ActiveX® 控制項) 是網際網路或電子郵件使用者日益增加的煩惱。而企業面臨的威脅也不再限於電子郵件訊息本身,還包括其他衍生自電子郵件的各種威脅,例如利用簡易郵件傳送通訊協定 (SMTP) 層進行的拒絕服務 (DoS) 攻擊、以爆量郵件干擾傳訊系統的瞄準式郵件轟炸,還有嘗試取得大量有效電子郵件地址的目錄蒐集攻擊。不管是竊取個人身份識別,還是全面惡意攻擊組織、企業、政府單位,只要是和電子郵件有關的安全性威脅,現今的使用者無一倖免。

垃圾郵件、病毒和電子郵件攻擊對企業造成相當大的衝擊,如果公司對於這類威脅毫無防備,後果可能不堪設想。垃圾郵件已經不只是惱人而已,也會增加企業的成本,這裡指的不光是金錢上的負擔,還有佔用的處理時間、頻寬、管理與資源。同樣地,發生病毒和電子郵件攻擊時,幸則造成停機,不幸則威脅企業的關鍵資源和智慧財產權。

近來業界就這個議題研究後發現:

  • 大約 100% 的企業均受到垃圾郵件的影響。

  • 平均多達 50% 的業務用信箱收到垃圾郵件。

  • 不到 10% 的企業已經準備有效的垃圾郵件篩選器技術。

  • 垃圾郵件占全球超過 82% 的電子郵件總量。

  • 82 家Fortune 500 大企業的員工表示,每日投入近 15 分鐘的時間處理平均 29 封垃圾郵件。

  • 2004 年大型企業內每一位員工因處理垃圾郵件而平白損失的生產力將近 $2,000 美金。

Microsoft IT 認為要遏阻這些威脅,一種方法並不夠,有必要多管齊下。這套方法包括結合了 Exchange Server 2003 和 Outlook 2003 等 Microsoft 軟體,搭配協力廠商產品,部署至傳訊環境中從閘道到用戶端的多個層次。

防堵病毒和垃圾郵件系統近來的改善,使 Microsoft IT 終於能將環境中用於執行這些作業的伺服器數量精簡 50%。Microsoft IT 特別加強網際網路郵件閘道層以及用戶端層的防護,因而能降低營運開支,同時提升對垃圾郵件的防護力。

在撰文的同時,從網際網路傳入 Microsoft IT 電子郵件閘道的郵件量平均每日約八百萬至一千萬封。多層次篩選電子郵件意味著以多管齊下的機制處理內送電子郵件,每一種機制都大量減少允許通過的電子郵件量。[圖 1] 說明撰文的同時 Microsoft IT 電子郵件篩選層運作的效果。

[圖 1]

[圖 1] Microsoft IT 採用的垃圾郵件篩選過程

下列數據以每日平均量為準:

  • 連線篩選封鎖約 25% 的所有內送 SMTP 連線。這些連線已經列在協力廠商清單和即時封鎖清單中,是已知的垃圾郵件來源。

  • 連線篩選後剩下的郵件,有 59% 會被寄件者和收件者篩選刪除。

  • 寄件者和收件者篩選後剩下的郵件,有 38% 會被智慧型郵件篩選器刪除。

經過前面幾層篩選後,剩下的郵件會經過病毒掃瞄。如果通過,電子郵件會被送往信箱伺服器,供使用者存取。電子郵件用戶端再執行篩選軟體,進一步減少到達使用者端的垃圾郵件。所有篩選工作完畢後,平均算來只有 15% 的每日內送郵件總量會留下來。

如需進一步瞭解這份經驗分享所涵蓋的主題,請參閱下列的 IT 百寶箱白皮書<Microsoft 內部如何替訊息中心保健>http://www.microsoft.com/technet/itsolutions/msit/security/messaginghygienewp.mspx

採行的訊息中心保健技術

目前 Microsoft IT 已經透過現行的網際網路電子郵件和電子郵件掃瞄基礎結構設計,落實為訊息中心保健的目的。Microsoft IT 選擇以 Exchange Server 2003 作為閘道層防毒功能的平台,取代專屬的病毒掃瞄伺服器,立即降低了 TOC。Exchange Server 2003 平台可讓 Microsoft IT 選擇協力廠商的防毒解決方案,因為它遵行整合式方法並使用 Exchange 中的原始 SMTP 堆疊。這個解決方案也可整合 Exchange Server 2003 的一些功能如垃圾郵件信賴等級 (SCL)。

Outlook 2003 的使用者不僅能享有內建的「垃圾郵件篩選器」技術,還可專為自己的信箱打造安全寄件者清單 (Safe Senders List) 和封鎖寄件者清單 (Blocked Senders List)。安全寄件者清單包含信任的電子郵件地址和網域名稱,使用者一向願意從這些來源接收訊息。相反地,封鎖寄件者清單則包含使用者永遠不想收到來信的電子郵件地址和網域名稱。

為了避免網路層發生問題和天災,Microsoft IT 將網際網路閘道和傳訊中心保健基礎結構分散在幾個資料中心。這種分散方式避免單點發生問題,並建立多個實體和邏輯路徑,以便遞送和掃瞄網際網路電子郵件。

Microsoft IT 在傳訊中心保健解決方案內採用了下列技術,每個項目並列出技術提供者名稱。

連線篩選 (Exchange 和協力廠商伺服器)

連線篩選會將所連接伺服器的網際網路通訊協定 (IP) 位址與拒絕存取的 IP 位址清單 (又稱即時封鎖清單) 比對。比對 IP 位址的作業會在 SMTP 工作階段初始化一開始立即進行,以便讓組織在訊息提交之初即封鎖對閘道的連線。這樣一來,即時封鎖清單所列的伺服器還沒來得及傳送訊息,連線就會被中斷。這種方式能節省傳訊層和網路層的效能。

寄件者篩選 (Exchange)

寄件者篩選會檢查每一封內送電子由建的寄件者地址,再將它與系統管理員設定的封鎖寄件者比對。這個清單包含 Microsoft IT 拒絕收信的電子郵件地址及網域。一般來說,這些清單所含的地址會傳送大量不受歡迎的電子郵件,例如非關業務的網站所傳送的電子郵件。Microsoft IT 並非將這些寄件者視為垃圾郵件寄送者,而是公司不希望自其收信的網域或個人。寄件者篩選能夠有效地減少來自特定出處或電子郵件網域的郵件轟炸攻擊。寄件者篩選光是在 Microsoft IT 的環境,每天就檔下成千上百的訊息。

封鎖寄件者篩選 (Exchange)

寄件者地址留白的訊息往往有蹊蹺。Microsoft IT 使用 Exchange Server 2003 在閘道封鎖這些訊息,進一步減少環境中接收的垃圾郵件數量。

收件者篩選 (Exchange)

收件者篩選能夠根據訊息指定的收件對象,在閘道層檔下訊息。雖然它的效率在處理即時垃圾郵件威脅時,比不上即時防垃圾郵件解決方案,但是收件者篩選在減少郵件轟炸攻擊的風險上還是挺有幫助的。

收件者查閱 (Exchange)

收件者查閱會先在通訊協定層檢查收件者是否有效,再決定是否要傳送訊息,如果收件者不存在會被拒絕。這項功能替系統減少嘗試寄件和退件而浪費資源的電子郵件數量。

系統管理員在採用收件者查閱功能時應該要審慎,否則可能會使傳訊環境易受目錄蒐集攻擊。要降低這類攻擊的風險,一般的作法是對送給無效收件者的要求延遲回應。這樣能預防快速收集電子郵件地址的攻擊,同時仍封鎖傳送給無效收件者的訊息地址。

智慧型郵件篩選器 (Exchange)

每一封內送網際網路電子郵件必須通過的第一道關卡是智慧型郵件篩選器,它在 Exchange Server 2003 閘道伺服器的傳訊環境邊疆執行。

防毒解決方案 (協力廠商伺服器和用戶端)

Microsoft IT 認為,最完善的方式是將防毒機制部署在整個網路環境中的許多層次。除了加深防護,Microsoft IT 也將電子郵件防毒系統的重點放在 SMTP 閘道層和用戶端層。

雖然防毒掃瞄重點在傳訊層,請注意 Microsoft IT 也在檔案層的 Exchange Server 2003 伺服器上執行防毒掃瞄。檔案層掃瞄相當重要,因為它能保護身為基層結構元素的 Exchange 伺服器。如果作業系統層沒有防毒保護,一般作業如伺服器維護、修補或疑難排除很可能意外造成伺服器中毒,使傳訊服務可用性降低,甚至可能使資料遺失。

請注意,由於檔案層防毒軟體通常無法感知 Exchange 特有資料 (例如 Exchange 資料庫和記錄檔) 的內部架構,掃瞄這些內容通常會造成伺服器失敗,導致資料毀損。因此檔案層防毒軟體必須經過特別的設定,排除任何與 Exchange Server 有關的資料如信箱存放區、異動記錄、暫存目錄、訊息佇列等其他相關的檔案位置。

附件抽出 (Exchange 和 Outlook)

Microsoft IT 的防毒措施之一是根據附件副檔名和類型,自動移除內送電子郵件的附件。閘道層的防毒軟體會自動抽出某些類型的附件 (例如 .exe、.cmd 和 .com),不管它們是否已經被病毒感染。這些附件的中毒風險較高,從網路的最外端抽出它們,有助於保護環境免受未知或新型的惡意程式碼染指,以免對應的防毒簽章尚未開發或部署。附件被抽出後,訊息仍然會被傳送,內部收件者會收到適當通知。

就像閘道層的附件抽出,Outlook 2003 使用者也能夠透過封鎖,拒絕收到各種可能的惡意檔案類型。

限制通訊群組 (Exchange)

惡意電子郵件如果成功地傳送給一個大型的通訊群組,後果比只傳給一位收件者還要嚴重。Microsoft IT 使用 Exchange Server 2003 的功能,讓系統管理員得以用兩種方式限制電子郵件通訊群組。第一,系統管理員可以設定通訊群組只接受來自特定收件者清單的訊息。第二,系統管理員可以設定通訊群組只接受來自已驗證使用者的訊息。如果收件者未經過驗證,傳送給受保護通訊群組的訊息會遭到封鎖。Microsoft IT 更進一步限制不需要從網際網路收發電子郵件的通訊群組,也就是說,外部使用者無法傳送電子郵件給這些通訊群組。

垃圾郵件篩選器 (Outlook)

使用者可以自訂 Outlook 2003 垃圾郵件篩選器的行為。這個篩選器能在訊息一到達用戶端即加以分析,判斷該訊息是否為垃圾郵件。使用者可以選擇所需的保護層級,從無保護到允許安全寄件者的訊息皆可。被垃圾郵件篩選器攔下的訊息會直接被送往 Outlook 使用者的 [垃圾郵件] 資料夾,使用者可以選擇要讀取或刪除訊息。請注意,使用者無法覆寫閘道層篩選器在用戶端層的運作。如果訊息超出閘道的臨界值,不管用戶層的設定為何,並不會被送至使用者的收件匣。

抑制寄件者顯示名稱解析 (Exchange)

一般來說,寄件者的地址只要符合 Active Directory® 目錄服務中的 Proxy 地址,Outlook 2003 用戶端就會自動將寄件者地址解析為適當的顯示名稱。Exchange Server 2003 中,系統管理員能夠抑制自動替寄件者顯示名稱解析的這項功能。顯示名稱解析遭到抑制後會標記訊息,Outlook 2003 就不會解析顯示名稱,收件者在 Outlook 訊息標題看見的會是網際網路電子郵件地址 (例如 someone@example.com),而非全域通訊名單中的顯示名稱。收件者就能夠目視鑑別訊息是否為來自組織外可能的詐騙信件。

停用安全性通知 (Exchange)

若傳送安全性通知給以網際網路為基礎的寄件者,就等於洩漏了訊息中心保健系統的存在,不必要地造成安全性風險。此外,寄件者的身份識別通常無法確認 (可能是詐騙),因此通知電子郵件訊息可能被送給錯誤的使用者,使用者可能會收到許多通知。最後一點,如果中毒信件的數量龐大,通知可能會導致遠端系統發生分散式 Dos。

最佳作法

  • 採用多層次防護,可獲得最佳結果。

  • 在訊息閘道掃瞄垃圾郵件。

  • 先掃瞄垃圾郵件,再掃瞄病毒。

  • 刪除而非清除受感染的訊息。

  • 抽出特定檔案類型的附件。

  • 向網際網路寄件者停用安全性通知。

  • 內送和外送電子郵件都要經過病毒掃瞄。

  • 替中毒的外送網際網路電子郵件產生安全性通知。

  • 採用限制通訊群組。

  • 在用戶端系統強制實施一致的防毒措施。

  • 控制網路和路由的邊疆。

  • 封鎖空白寄件者。

  • 封鎖來自特定 IP 位址和網域名稱的電子郵件。

Microsoft IT 的全球環境

Microsoft 是一個龐大而複雜的企業,並且經常變動,因此 Microsoft IT 小組肩負著獨特的使命,不僅運作世界級的公用程式維持企業生產力,首要職責更是擔任 Microsoft 的第一個,也是最優秀的客戶。這包括在所有企業軟體的 Beta 開發初階,即部署至整個公司進行測試,提供寶貴的意見給生產小組,確保提供給客戶、用戶和夥伴的服務可預測且值得信賴。您可以從下列資料瞭解這些作業的環境 (估計數字):

  • 近 90,000 名 IT 使用者

  • 分處世界各地的 7 個網站執行 Exchange Server

  • 160 台伺服器執行 Exchange Server

  • 由 47 台伺服器構成的 7 個信箱叢集

  • 每日超過三百萬筆的內部電子郵件訊息

更多信息

歡迎透過
http://www.microsoft.com/worldwide 連絡您當地的 Microsoft 分公司,或造訪
http://www.microsoft.com/technet/itshowcase

下载

Microsoft 內部如何替訊息中心保健
148 KB
Microsoft Word 文件

顯示: