前言

電子郵件是企業(yè)普遍使用的一種重要業(yè)務(wù)服務(wù)芙沥。對電子郵件服務(wù)保護(hù)不利將導(dǎo)致
數(shù)據(jù)丟失和員工工作效率降低车遂。

企業(yè)的電子郵件系統(tǒng)主要面臨兩種威脅：

• 大量來歷不明玫膀、無用的電子郵件（稱為垃圾郵件）矛缨，它們會導(dǎo)致嚴(yán)重浪費(fèi)員工的時(shí)間，并占用帶寬和存儲等寶貴的資源帖旨。

• 惡意電子郵件箕昭，主要分為兩種形式：嵌入式攻擊，包括病毒和惡意軟件解阅，一旦點(diǎn)擊就會在終端設(shè)備上執(zhí)行操作落竹；釣魚攻擊，試圖通過誤導(dǎo)使員工透露敏感信息货抄，如信用卡號碼述召、社會安全保障號碼或知識產(chǎn)權(quán)信息等朱转。釣魚攻擊還可能試圖誘使員工不經(jīng)意地瀏覽惡意網(wǎng)站，這些網(wǎng)站會將惡意軟件分發(fā)到用戶的電腦終端桨武。

為什么需要對郵件安全引起重視

如果垃圾郵件得不到妥善過濾肋拔，電子郵件解決方案將難以使用。由于垃圾郵件數(shù)量龐大呀酸，不但會妨礙正常郵件及時(shí)送達(dá)，還讓員工在清理郵件的過程中浪費(fèi)了大量的時(shí)間琼梆。一些垃圾郵件過濾解決方案的弊端是誤判性誉，即某些電子郵件會被錯(cuò)判
為垃圾郵件，導(dǎo)致正常郵件被丟棄茎杂。

在這種情況下错览，企業(yè)必須再對垃圾郵件進(jìn)行篩選，尋找正常郵件煌往，或者降低過濾標(biāo)準(zhǔn)倾哺，但這樣會使更多潛在的垃圾郵件進(jìn)入用戶郵箱，這樣用戶不得不自行判斷郵件是不是垃圾郵件刽脖。不請自來的郵件極有可能是惡意郵件或帶有潛在威脅羞海。犯罪集團(tuán)經(jīng)常將電子郵件作為一種廉價(jià)而有效的用戶設(shè)備攻擊手段。有一種電子郵件攻擊是在郵件中發(fā)送惡意軟件曲管，試圖感染主機(jī)却邓，或向用戶提供虛假URL（釣魚），誘使用戶訪問一個(gè)網(wǎng)站院水，罪犯在這里會竊取銀行賬戶登錄信息或感染主機(jī)腊徙。

這些攻擊的目的是獲取社會保險(xiǎn)號碼、信用卡卡號或破壞主機(jī)檬某，以便將其作為發(fā)送垃圾郵件和發(fā)動其它攻擊的據(jù)點(diǎn)撬腾。

思科IronPort電子郵件安全設(shè)備(ESA)能夠在非法郵件和惡意郵件到達(dá)用戶郵箱之前對其進(jìn)行過濾，從而有效保護(hù)電子郵件基礎(chǔ)設(shè)施和在工作中使用電子郵件的員工恢恼。IronPort ESA具有極高的靈活性抑淫，很容易與現(xiàn)有的電子郵件基礎(chǔ)設(shè)施集成。這是因?yàn)樗陔娮余]件傳送鏈中充當(dāng)一個(gè)郵件傳輸代理（MTA）扳缕。MTA的另外一個(gè)名稱是郵件中繼硝烂。企業(yè)在使用MTA正常發(fā)送電子郵件時(shí)的信息流如下所示。
【圖1】- 電子郵件流程

Cisco IronPort ESA可以只配置一個(gè)物理接口和簸，用于過濾往返企業(yè)郵件服務(wù)器的電子郵件彭雾。第二種部署方案是雙接口配置，一個(gè)接口用于進(jìn)出互聯(lián)網(wǎng)的電子郵件傳輸锁保，另一個(gè)接口用于進(jìn)出內(nèi)部服務(wù)器的電子郵件傳輸薯酝。簡單起見半沽，互聯(lián)網(wǎng)邊
緣設(shè)計(jì)采用了單接口配置模式。

Cisco IronPort ESA使用多種機(jī)制來過濾垃圾郵件和防御惡意攻擊吴菠。該解決方案的目的是篩選出被發(fā)現(xiàn)的垃圾郵件者填，并隔離或丟棄從不可信或潛在惡意位置發(fā)出的電子郵件。防病毒(AV)掃描適用于來自所有服務(wù)器的電子郵件和附件做葵，目的是刪除已知惡意軟件占哟。

Cisco ESA功能介紹如下

過濾垃圾郵件
過濾垃圾郵件和防御釣魚攻擊的方法有兩種：基于信譽(yù)的過濾和基于上下文的過濾。

基于信譽(yù)的過濾
此類過濾取決于服務(wù)器是已知垃圾郵件發(fā)送者的可能性酿矢，來自這種服務(wù)器的電子郵件榨乎，與從未有過分發(fā)垃圾郵件的信譽(yù)的主機(jī)相比，更有可能是垃圾郵件瘫筐。類似的過濾器也適用于攜帶病毒和其它威脅的電子郵件蜜暑。

信譽(yù)過濾器提供了第一道防線，它將檢查電子郵件服務(wù)器的源IP地址策肝，并將其與下載自Cisco SenderBase的信譽(yù)數(shù)據(jù)進(jìn)行比較肛捍。Cisco SenderBase是全球最大的安全數(shù)據(jù)存儲庫，這些數(shù)據(jù)包括垃圾郵件源之众、僵尸網(wǎng)絡(luò)和其它惡意主機(jī)拙毫。如果互聯(lián)網(wǎng)上的主機(jī)從事惡意活動，SenderBase會降低其信譽(yù)度酝枢。諸如Cisco IronPort ESA等使用等信譽(yù)過濾的設(shè)備恬偷，每天都會收到幾次來自SenderBase的更新信息。當(dāng)ESA設(shè)備收到一封電子郵件時(shí)帘睦，它會將其源IP地址與SenderBase數(shù)據(jù)庫進(jìn)行對比袍患，執(zhí)行以下檢查（如圖2所示）：

? 如果發(fā)送者的信譽(yù)良好，這封電子郵件將被放行竣付，進(jìn)入第二層防御機(jī)制诡延。
? 如果發(fā)送者的信譽(yù)不良，這封電子郵件將被丟棄古胆。
? 如果發(fā)送者的信譽(yù)不好也不壞肆良，這封電子郵件將作為可疑郵件被隔離，必須等待檢查后才能傳輸逸绎。

基于上下文的過濾
ESA設(shè)備中的這些防垃圾郵件過濾器負(fù)責(zé)檢查包括附件在內(nèi)的整個(gè)郵件惹恃，分析諸如發(fā)送者身份、郵件內(nèi)容棺牧、嵌入的URL和電子郵件格式等詳細(xì)信息巫糙。利用這些算法，ESA能夠識別垃圾郵件颊乘，而不會攔截合法郵件参淹。
【圖2】- 電子郵件過濾概覽

對抗病毒和惡意軟件
Cisco IronPort ESA使用一種多層次的方法來對抗病毒和惡意軟件醉锄。
? 第一個(gè)防御層由病毒爆發(fā)過濾器組成。這些過濾器可從Cisco SenderBase下載浙值，其中包含一個(gè)已知非法郵件服務(wù)器列表恳不。這些過濾器是經(jīng)由觀察全球電子郵件流量模式、并找出與某次病毒爆發(fā)相關(guān)的異常因素而生成的开呐。當(dāng)收到該列表上的服務(wù)器發(fā)出的電子郵件后烟勋，該郵件將被隔離，直到防病毒簽名被更新负蚊，能夠應(yīng)對當(dāng)前的威脅神妹。

? 第二個(gè)防御層是使用防病毒簽名來掃描被隔離的電子郵件，以確保它們沒有將病毒攜帶到網(wǎng)絡(luò)家妆。

高可用性
Cisco IronPort ESA是郵件傳輸鏈中的一個(gè)組件，它能夠提供一定程度的永續(xù)性冕茅，因?yàn)樵谀康牡胤?wù)器沒有應(yīng)答的情況下伤极，傳輸鏈中的一個(gè)郵件服務(wù)器會將郵件暫時(shí)保存一段時(shí)間。您可以通過增加一個(gè)IronPort ESA來獲得更高級別的永
續(xù)性姨伤。您應(yīng)當(dāng)對第二個(gè)IronPort ESA進(jìn)行與第一個(gè)IronPort ESA相同的配置哨坪，然后將增加的MX記錄添加到域名系統(tǒng)(DNS)。

對于任何增加的設(shè)備乍楚，您都需要向ESA設(shè)備添加訪問列表和靜態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)当编。

監(jiān)控
您可以通過查看Monitor（監(jiān)控）選項(xiàng)卡下提供的各種報(bào)告，來監(jiān)控Cisco IronPort ESA的行為徒溪。借助這些報(bào)告忿偷，管理員能夠跟蹤垃圾郵件、病毒類型臊泌、入站郵件域鲤桥、出站郵件目的地、系統(tǒng)容量和系統(tǒng)狀態(tài)等信息渠概。

收件收發(fā)工作流程圖

OutGoing Mail示意圖

1. Inside方向客戶端使用郵件客戶端軟件發(fā)送郵件到Inside-mai郵件服務(wù)器茶凳。
2. 郵件服務(wù)器將郵件中繼到ESA做策略檢查。
3. ESA找DNS服務(wù)器查看郵件目的地域名（outside.com)
4. Inside-DNS本地不知道該域名播揪，則找轉(zhuǎn)發(fā)器查詢域名贮喧。
5. 本地中Outside-DNS為Inside-DNS的轉(zhuǎn)發(fā)器，轉(zhuǎn)發(fā)器答復(fù)查詢結(jié)果猪狈。
6. 收到查詢結(jié)果后箱沦，Inside-DNS將結(jié)果交給ESA。
7. ESA根據(jù)查詢的結(jié)果將郵件發(fā)送給Outside-mail罪裹。
8. 最終饱普，Outside-Mail將郵件發(fā)送給Outside方向客戶端PC运挫。

Incoming Mail示意圖

1. Outside 方向PC將郵件發(fā)送到Outside-mail服務(wù)器。
2. Outside-Mail服務(wù)器通過本地DNS服務(wù)器查詢郵件目的地的IP地址套耕，做DNS解析谁帕。
3. Outside-DNS服務(wù)器找轉(zhuǎn)發(fā)器（Inside-DNS）查詢郵件目的地的IP地址。
4. Inside-DNS將查詢結(jié)果回復(fù)給Outside-DNS服務(wù)器冯袍。
5. Outside-DNS設(shè)備再將查詢結(jié)果回復(fù)給Outside-Mail服務(wù)器匈挖。
6. 此時(shí)Outside-Mail服務(wù)器才能將將郵件送到遠(yuǎn)端的ESA設(shè)備。
7. 等待ESA對接收到的郵件做安全檢測以后康愤，將郵件轉(zhuǎn)發(fā)給Inside-Mail設(shè)備儡循。
8. Inside-Mail服務(wù)器根據(jù)自身注冊記錄，將郵件轉(zhuǎn)發(fā)給Inside端的PC征冷。

實(shí)驗(yàn)

實(shí)驗(yàn)拓?fù)?/strong>

實(shí)驗(yàn)需求
橙色區(qū)域?yàn)橐慌_Windows Server 2012 R2 同時(shí)模擬Outside方向的郵件服務(wù)器和DNS服務(wù)器择膝，綠色區(qū)域?yàn)榱硪慌_Windows Server 2012 R2同時(shí)模擬Inside方向的郵件服務(wù)器和DNS服務(wù)器。需求如下

• 當(dāng)Outside向Inside發(fā)送電子郵件時(shí)检激，如果正文包含“Fuck”肴捉，且附件名包含“Cisco”，則ESA將執(zhí)行“退信”動作叔收。

實(shí)驗(yàn)說明

• 所有設(shè)備均在vSphere 6.5環(huán)境中完成
• Windows Server 2012 R2中DNS服務(wù)已大家完成齿穗，搭建過程忽略
• 搭建郵件服務(wù)使用的工具為，Winmail 6.5饺律，下載路徑為：https://pan.baidu.com/s/1WEyZmSpZpIjQVuFw-3Kepg
  提取碼：hzt6
• Cisco ESA的安裝與初始化過程通Cisco WSA類似窃页，本實(shí)驗(yàn)之間省略。ESA下載路徑為：https://pan.baidu.com/s/1V5S_-Fg55Y2JEOWGSjxCaw 提取碼: x25j
• 使用Cisco ESA版本為 9.7.1
• 防火墻為ASAv 9.6
• IP地址分配情況复濒，如實(shí)驗(yàn)拓?fù)渌静甭簟Ｋ性O(shè)備網(wǎng)關(guān)均指向ASA。
• ASA為連接測試設(shè)備芝薇，默認(rèn)放行所有流量胚嘲。

實(shí)驗(yàn)步驟
步驟1：Inside Mail&DNS Server相關(guān)配置

1. 在Inside DNS服務(wù)器中添加關(guān)于本服務(wù)器和ESA的主機(jī)記錄，另外添加MX記錄洛二。如下圖所示馋劈。

2. 添加DNS轉(zhuǎn)發(fā)器，如下圖所示晾嘶。

3. 安裝郵件服務(wù)器-Winmail妓雾。

• 利用下載連接，直接安裝Winmail軟件垒迂，安裝過程省略械姻。
• 安裝完成后，檢查机断，確保HTTP服務(wù)器正常開啟楷拳。

• 添加Inside方向使用的郵件域名“inside.com”

• 添加發(fā)送郵件時(shí)使用的郵件賬號“inside@inside.com”

• 添加SMTP外發(fā)遞送設(shè)置

• 增加SMTP受信任主機(jī)

步驟2：Outside Mail&DNS Server相關(guān)配置

1. 添加本地正向解析記錄和MX記錄

2. 添加DNS轉(zhuǎn)發(fā)器绣夺，到Inside DNS服務(wù)器

3. 安裝郵件服務(wù)器-Winmail。

• 利用下載連接欢揖，直接安裝Winmail軟件陶耍，安裝過程省略。
• 安裝完成后她混，檢查烈钞，確保HTTP服務(wù)器正常開啟。

• 在Winmail中添加Outside方向的域名坤按。

• 添加Outside方向使用的賬號“outside@outside.com”

步驟3：測試收發(fā)郵件

1. Inside設(shè)備登陸本地登陸郵件服務(wù)器毯欣，使用Inside賬號登陸，向outside@outside.com發(fā)送郵件臭脓。

2. Outside設(shè)備登陸本地郵件服務(wù)器酗钞，使用Outside賬號登陸，查看接收郵件情況来累。

3. 查看ESA Incomming Mail情況算吩，可以了解郵件經(jīng)過ESA轉(zhuǎn)發(fā)。

步驟4：配置Cisco ESA Incoming Content Filter策略佃扼。

1. 為Cisco ESA添加Incoming Content Filters，策略名為“Security-Filter”

2. 設(shè)置必須同時(shí)匹配兩個(gè)條件蔼夜，才執(zhí)行“退信”動作兼耀。

3. 保存創(chuàng)建的策略。

步驟5：調(diào)用創(chuàng)建的Incoming 策略求冷。

步驟6：重新登陸Outside 郵件服務(wù)器瘤运，按照實(shí)驗(yàn)要求發(fā)送附件名為“Cisco”正文包含“Fuck”的郵件到Outside@outside.com

1. 發(fā)送郵件

2. 查看“退信”

3. 查看Cisco ESA對郵件的攔截情況。