使用Cisco ESA对邮件过滤

前言

电子邮件是企业普遍使用的一种重要业务服务。对电子邮件服务保护不利将导致
数据丢失和员工工作效率降低。

企业的电子邮件系统主要面临两种威胁:

  • 大量来历不明、无用的电子邮件(称为垃圾邮件),它们会导致严重浪费员工的时间,并占用带宽和存储等宝贵的资源。

  • 恶意电子邮件,主要分为两种形式:嵌入式攻击,包括病毒和恶意软件,一旦点击就会在终端设备上执行操作;钓鱼攻击,试图通过误导使员工透露敏感信息,如信用卡号码、社会安全保障号码或知识产权信息等。钓鱼攻击还可能试图诱使员工不经意地浏览恶意网站,这些网站会将恶意软件分发到用户的电脑终端。

为什么需要对邮件安全引起重视

如果垃圾邮件得不到妥善过滤,电子邮件解决方案将难以使用。由于垃圾邮件数量庞大,不但会妨碍正常邮件及时送达,还让员工在清理邮件的过程中浪费了大量的时间。一些垃圾邮件过滤解决方案的弊端是误判,即某些电子邮件会被错判
为垃圾邮件,导致正常邮件被丢弃。

在这种情况下,企业必须再对垃圾邮件进行筛选,寻找正常邮件,或者降低过滤标准,但这样会使更多潜在的垃圾邮件进入用户邮箱,这样用户不得不自行判断邮件是不是垃圾邮件。不请自来的邮件极有可能是恶意邮件或带有潜在威胁。犯罪集团经常将电子邮件作为一种廉价而有效的用户设备攻击手段。有一种电子邮件攻击是在邮件中发送恶意软件,试图感染主机,或向用户提供虚假URL(钓鱼),诱使用户访问一个网站,罪犯在这里会窃取银行账户登录信息或感染主机。

这些攻击的目的是获取社会保险号码、信用卡卡号或破坏主机,以便将其作为发送垃圾邮件和发动其它攻击的据点。

思科IronPort电子邮件安全设备(ESA)能够在非法邮件和恶意邮件到达用户邮箱之前对其进行过滤,从而有效保护电子邮件基础设施和在工作中使用电子邮件的员工。IronPort ESA具有极高的灵活性,很容易与现有的电子邮件基础设施集成。这是因为它在电子邮件传送链中充当一个邮件传输代理(MTA)。MTA的另外一个名称是邮件中继。企业在使用MTA正常发送电子邮件时的信息流如下所示。
【图1】- 电子邮件流程

Cisco IronPort ESA可以只配置一个物理接口,用于过滤往返企业邮件服务器的电子邮件。第二种部署方案是双接口配置,一个接口用于进出互联网的电子邮件传输,另一个接口用于进出内部服务器的电子邮件传输。简单起见,互联网边
缘设计采用了单接口配置模式。

Cisco IronPort ESA使用多种机制来过滤垃圾邮件和防御恶意攻击。该解决方案的目的是筛选出被发现的垃圾邮件,并隔离或丢弃从不可信或潜在恶意位置发出的电子邮件。防病毒(AV)扫描适用于来自所有服务器的电子邮件和附件,目的是删除已知恶意软件。

Cisco ESA功能介绍如下

过滤垃圾邮件
过滤垃圾邮件和防御钓鱼攻击的方法有两种:基于信誉的过滤和基于上下文的过滤。

基于信誉的过滤
此类过滤取决于服务器是已知垃圾邮件发送者的可能性,来自这种服务器的电子邮件,与从未有过分发垃圾邮件的信誉的主机相比,更有可能是垃圾邮件。类似的过滤器也适用于携带病毒和其它威胁的电子邮件。

信誉过滤器提供了第一道防线,它将检查电子邮件服务器的源IP地址,并将其与下载自Cisco SenderBase的信誉数据进行比较。Cisco SenderBase是全球最大的安全数据存储库,这些数据包括垃圾邮件源、僵尸网络和其它恶意主机。如果互联网上的主机从事恶意活动,SenderBase会降低其信誉度。诸如Cisco IronPort ESA等使用等信誉过滤的设备,每天都会收到几次来自SenderBase的更新信息。当ESA设备收到一封电子邮件时,它会将其源IP地址与SenderBase数据库进行对比,执行以下检查(如图2所示):

• 如果发送者的信誉良好,这封电子邮件将被放行,进入第二层防御机制。
• 如果发送者的信誉不良,这封电子邮件将被丢弃。
• 如果发送者的信誉不好也不坏,这封电子邮件将作为可疑邮件被隔离,必须等待检查后才能传输。

基于上下文的过滤
ESA设备中的这些防垃圾邮件过滤器负责检查包括附件在内的整个邮件,分析诸如发送者身份、邮件内容、嵌入的URL和电子邮件格式等详细信息。利用这些算法,ESA能够识别垃圾邮件,而不会拦截合法邮件。
【图2】- 电子邮件过滤概览

对抗病毒和恶意软件
Cisco IronPort ESA使用一种多层次的方法来对抗病毒和恶意软件。
• 第一个防御层由病毒爆发过滤器组成。这些过滤器可从Cisco SenderBase下载,其中包含一个已知非法邮件服务器列表。这些过滤器是经由观察全球电子邮件流量模式、并找出与某次病毒爆发相关的异常因素而生成的。当收到该列表上的服务器发出的电子邮件后,该邮件将被隔离,直到防病毒签名被更新,能够应对当前的威胁。

• 第二个防御层是使用防病毒签名来扫描被隔离的电子邮件,以确保它们没有将病毒携带到网络。

高可用性
Cisco IronPort ESA是邮件传输链中的一个组件,它能够提供一定程度的永续性,因为在目的地服务器没有应答的情况下,传输链中的一个邮件服务器会将邮件暂时保存一段时间。您可以通过增加一个IronPort ESA来获得更高级别的永
续性。您应当对第二个IronPort ESA进行与第一个IronPort ESA相同的配置,然后将增加的MX记录添加到域名系统(DNS)。

对于任何增加的设备,您都需要向ESA设备添加访问列表和静态网络地址转换(NAT)。

监控
您可以通过查看Monitor(监控)选项卡下提供的各种报告,来监控Cisco IronPort ESA的行为。借助这些报告,管理员能够跟踪垃圾邮件、病毒类型、入站邮件域、出站邮件目的地、系统容量和系统状态等信息。

收件收发工作流程图

OutGoing Mail示意图

  1. Inside方向客户端使用邮件客户端软件发送邮件到Inside-mai邮件服务器。
  2. 邮件服务器将邮件中继到ESA做策略检查。
  3. ESA找DNS服务器查看邮件目的地域名(outside.com)
  4. Inside-DNS本地不知道该域名,则找转发器查询域名。
  5. 本地中Outside-DNS为Inside-DNS的转发器,转发器答复查询结果。
  6. 收到查询结果后,Inside-DNS将结果交给ESA。
  7. ESA根据查询的结果将邮件发送给Outside-mail。
  8. 最终,Outside-Mail将邮件发送给Outside方向客户端PC。

Incoming Mail示意图

  1. Outside 方向PC将邮件发送到Outside-mail服务器。
  2. Outside-Mail服务器通过本地DNS服务器查询邮件目的地的IP地址,做DNS解析。
  3. Outside-DNS服务器找转发器(Inside-DNS)查询邮件目的地的IP地址。
  4. Inside-DNS将查询结果回复给Outside-DNS服务器。
  5. Outside-DNS设备再将查询结果回复给Outside-Mail服务器。
  6. 此时Outside-Mail服务器才能将将邮件送到远端的ESA设备。
  7. 等待ESA对接收到的邮件做安全检测以后,将邮件转发给Inside-Mail设备。
  8. Inside-Mail服务器根据自身注册记录,将邮件转发给Inside端的PC。
实验

实验拓扑

实验需求
橙色区域为一台Windows Server 2012 R2 同时模拟Outside方向的邮件服务器和DNS服务器,绿色区域为另一台Windows Server 2012 R2同时模拟Inside方向的邮件服务器和DNS服务器。需求如下

  • 当Outside向Inside发送电子邮件时,如果正文包含“Fuck”,且附件名包含“Cisco”,则ESA将执行“退信”动作。

实验说明

  • 所有设备均在vSphere 6.5环境中完成
  • Windows Server 2012 R2中DNS服务已大家完成,搭建过程忽略
  • 搭建邮件服务使用的工具为,Winmail 6.5,下载路径为:https://pan.baidu.com/s/1WEyZmSpZpIjQVuFw-3Kepg
    提取码:hzt6
  • Cisco ESA的安装与初始化过程通Cisco WSA类似,本实验之间省略。ESA下载路径为:https://pan.baidu.com/s/1V5S_-Fg55Y2JEOWGSjxCaw 提取码: x25j
  • 使用Cisco ESA版本为 9.7.1
  • 防火墙为ASAv 9.6
  • IP地址分配情况,如实验拓扑所示。所有设备网关均指向ASA。
  • ASA为连接测试设备,默认放行所有流量。

实验步骤
步骤1:Inside Mail&DNS Server相关配置

  1. 在Inside DNS服务器中添加关于本服务器和ESA的主机记录,另外添加MX记录。如下图所示。
  1. 添加DNS转发器,如下图所示。
  1. 安装邮件服务器-Winmail。
  • 利用下载连接,直接安装Winmail软件,安装过程省略。
  • 安装完成后,检查,确保HTTP服务器正常开启。
  • 添加Inside方向使用的邮件域名“inside.com”
  • 添加SMTP外发递送设置
  • 增加SMTP受信任主机

步骤2:Outside Mail&DNS Server相关配置

  1. 添加本地正向解析记录和MX记录
  1. 添加DNS转发器,到Inside DNS服务器
  1. 安装邮件服务器-Winmail。
  • 利用下载连接,直接安装Winmail软件,安装过程省略。
  • 安装完成后,检查,确保HTTP服务器正常开启。
  • 在Winmail中添加Outside方向的域名。

步骤3:测试收发邮件

  1. Inside设备登陆本地登陆邮件服务器,使用Inside账号登陆,向[email protected]发送邮件。
  1. Outside设备登陆本地邮件服务器,使用Outside账号登陆,查看接收邮件情况。
  1. 查看ESA Incomming Mail情况,可以了解邮件经过ESA转发。

步骤4:配置Cisco ESA Incoming Content Filter策略。

  1. 为Cisco ESA添加Incoming Content Filters,策略名为“Security-Filter”
  1. 设置必须同时匹配两个条件,才执行“退信”动作。
  1. 保存创建的策略。

步骤5:调用创建的Incoming 策略。

步骤6:重新登陆Outside 邮件服务器,按照实验要求发送附件名为“Cisco”正文包含“Fuck”的邮件到[email protected]

  1. 发送邮件
  1. 查看“退信”
  1. 查看Cisco ESA对邮件的拦截情况。

你可能感兴趣的:(使用Cisco ESA对邮件过滤)