前言

電子郵件是企業(yè)普遍使用的一種重要業(yè)務服務。對電子郵件服務保護不利將導致
數(shù)據(jù)丟失和員工工作效率降低。

企業(yè)的電子郵件系統(tǒng)主要面臨兩種威脅：

• 大量來歷不明、無用的電子郵件（稱為垃圾郵件），它們會導致嚴重浪費員工的時間，并占用帶寬和存儲等寶貴的資源。

• 惡意電子郵件，主要分為兩種形式：嵌入式攻擊，包括病毒和惡意軟件，一旦點擊就會在終端設(shè)備上執(zhí)行操作；釣魚攻擊，試圖通過誤導使員工透露敏感信息，如信用卡號碼、社會安全保障號碼或知識產(chǎn)權(quán)信息等。釣魚攻擊還可能試圖誘使員工不經(jīng)意地瀏覽惡意網(wǎng)站，這些網(wǎng)站會將惡意軟件分發(fā)到用戶的電腦終端。

為什么需要對郵件安全引起重視

如果垃圾郵件得不到妥善過濾，電子郵件解決方案將難以使用。由于垃圾郵件數(shù)量龐大，不但會妨礙正常郵件及時送達，還讓員工在清理郵件的過程中浪費了大量的時間。一些垃圾郵件過濾解決方案的弊端是誤判，即某些電子郵件會被錯判
為垃圾郵件，導致正常郵件被丟棄。

在這種情況下，企業(yè)必須再對垃圾郵件進行篩選，尋找正常郵件，或者降低過濾標準，但這樣會使更多潛在的垃圾郵件進入用戶郵箱，這樣用戶不得不自行判斷郵件是不是垃圾郵件。不請自來的郵件極有可能是惡意郵件或帶有潛在威脅。犯罪集團經(jīng)常將電子郵件作為一種廉價而有效的用戶設(shè)備攻擊手段。有一種電子郵件攻擊是在郵件中發(fā)送惡意軟件，試圖感染主機，或向用戶提供虛假URL（釣魚），誘使用戶訪問一個網(wǎng)站，罪犯在這里會竊取銀行賬戶登錄信息或感染主機。

這些攻擊的目的是獲取社會保險號碼、信用卡卡號或破壞主機，以便將其作為發(fā)送垃圾郵件和發(fā)動其它攻擊的據(jù)點。

思科IronPort電子郵件安全設(shè)備(ESA)能夠在非法郵件和惡意郵件到達用戶郵箱之前對其進行過濾，從而有效保護電子郵件基礎(chǔ)設(shè)施和在工作中使用電子郵件的員工。IronPort ESA具有極高的靈活性，很容易與現(xiàn)有的電子郵件基礎(chǔ)設(shè)施集成。這是因為它在電子郵件傳送鏈中充當一個郵件傳輸代理（MTA）。MTA的另外一個名稱是郵件中繼。企業(yè)在使用MTA正常發(fā)送電子郵件時的信息流如下所示。
【圖1】- 電子郵件流程

Cisco IronPort ESA可以只配置一個物理接口，用于過濾往返企業(yè)郵件服務器的電子郵件。第二種部署方案是雙接口配置，一個接口用于進出互聯(lián)網(wǎng)的電子郵件傳輸，另一個接口用于進出內(nèi)部服務器的電子郵件傳輸。簡單起見，互聯(lián)網(wǎng)邊
緣設(shè)計采用了單接口配置模式。

Cisco IronPort ESA使用多種機制來過濾垃圾郵件和防御惡意攻擊。該解決方案的目的是篩選出被發(fā)現(xiàn)的垃圾郵件，并隔離或丟棄從不可信或潛在惡意位置發(fā)出的電子郵件。防病毒(AV)掃描適用于來自所有服務器的電子郵件和附件，目的是刪除已知惡意軟件。

Cisco ESA功能介紹如下

過濾垃圾郵件
過濾垃圾郵件和防御釣魚攻擊的方法有兩種：基于信譽的過濾和基于上下文的過濾。

基于信譽的過濾
此類過濾取決于服務器是已知垃圾郵件發(fā)送者的可能性，來自這種服務器的電子郵件，與從未有過分發(fā)垃圾郵件的信譽的主機相比，更有可能是垃圾郵件。類似的過濾器也適用于攜帶病毒和其它威脅的電子郵件。

信譽過濾器提供了第一道防線，它將檢查電子郵件服務器的源IP地址，并將其與下載自Cisco SenderBase的信譽數(shù)據(jù)進行比較。Cisco SenderBase是全球最大的安全數(shù)據(jù)存儲庫，這些數(shù)據(jù)包括垃圾郵件源、僵尸網(wǎng)絡和其它惡意主機。如果互聯(lián)網(wǎng)上的主機從事惡意活動，SenderBase會降低其信譽度。諸如Cisco IronPort ESA等使用等信譽過濾的設(shè)備，每天都會收到幾次來自SenderBase的更新信息。當ESA設(shè)備收到一封電子郵件時，它會將其源IP地址與SenderBase數(shù)據(jù)庫進行對比，執(zhí)行以下檢查（如圖2所示）：

? 如果發(fā)送者的信譽良好，這封電子郵件將被放行，進入第二層防御機制。
? 如果發(fā)送者的信譽不良，這封電子郵件將被丟棄。
? 如果發(fā)送者的信譽不好也不壞，這封電子郵件將作為可疑郵件被隔離，必須等待檢查后才能傳輸。

基于上下文的過濾
ESA設(shè)備中的這些防垃圾郵件過濾器負責檢查包括附件在內(nèi)的整個郵件，分析諸如發(fā)送者身份、郵件內(nèi)容、嵌入的URL和電子郵件格式等詳細信息。利用這些算法，ESA能夠識別垃圾郵件，而不會攔截合法郵件。
【圖2】- 電子郵件過濾概覽

對抗病毒和惡意軟件
Cisco IronPort ESA使用一種多層次的方法來對抗病毒和惡意軟件。
? 第一個防御層由病毒爆發(fā)過濾器組成。這些過濾器可從Cisco SenderBase下載，其中包含一個已知非法郵件服務器列表。這些過濾器是經(jīng)由觀察全球電子郵件流量模式、并找出與某次病毒爆發(fā)相關(guān)的異常因素而生成的。當收到該列表上的服務器發(fā)出的電子郵件后，該郵件將被隔離，直到防病毒簽名被更新，能夠應對當前的威脅。

? 第二個防御層是使用防病毒簽名來掃描被隔離的電子郵件，以確保它們沒有將病毒攜帶到網(wǎng)絡。

高可用性
Cisco IronPort ESA是郵件傳輸鏈中的一個組件，它能夠提供一定程度的永續(xù)性，因為在目的地服務器沒有應答的情況下，傳輸鏈中的一個郵件服務器會將郵件暫時保存一段時間。您可以通過增加一個IronPort ESA來獲得更高級別的永
續(xù)性。您應當對第二個IronPort ESA進行與第一個IronPort ESA相同的配置，然后將增加的MX記錄添加到域名系統(tǒng)(DNS)。

對于任何增加的設(shè)備，您都需要向ESA設(shè)備添加訪問列表和靜態(tài)網(wǎng)絡地址轉(zhuǎn)換(NAT)。

監(jiān)控
您可以通過查看Monitor（監(jiān)控）選項卡下提供的各種報告，來監(jiān)控Cisco IronPort ESA的行為。借助這些報告，管理員能夠跟蹤垃圾郵件、病毒類型、入站郵件域、出站郵件目的地、系統(tǒng)容量和系統(tǒng)狀態(tài)等信息。

收件收發(fā)工作流程圖

OutGoing Mail示意圖

1. Inside方向客戶端使用郵件客戶端軟件發(fā)送郵件到Inside-mai郵件服務器。
2. 郵件服務器將郵件中繼到ESA做策略檢查。
3. ESA找DNS服務器查看郵件目的地域名（outside.com)
4. Inside-DNS本地不知道該域名，則找轉(zhuǎn)發(fā)器查詢域名。
5. 本地中Outside-DNS為Inside-DNS的轉(zhuǎn)發(fā)器，轉(zhuǎn)發(fā)器答復查詢結(jié)果。
6. 收到查詢結(jié)果后，Inside-DNS將結(jié)果交給ESA。
7. ESA根據(jù)查詢的結(jié)果將郵件發(fā)送給Outside-mail。
8. 最終，Outside-Mail將郵件發(fā)送給Outside方向客戶端PC。

Incoming Mail示意圖

1. Outside 方向PC將郵件發(fā)送到Outside-mail服務器。
2. Outside-Mail服務器通過本地DNS服務器查詢郵件目的地的IP地址，做DNS解析。
3. Outside-DNS服務器找轉(zhuǎn)發(fā)器（Inside-DNS）查詢郵件目的地的IP地址。
4. Inside-DNS將查詢結(jié)果回復給Outside-DNS服務器。
5. Outside-DNS設(shè)備再將查詢結(jié)果回復給Outside-Mail服務器。
6. 此時Outside-Mail服務器才能將將郵件送到遠端的ESA設(shè)備。
7. 等待ESA對接收到的郵件做安全檢測以后，將郵件轉(zhuǎn)發(fā)給Inside-Mail設(shè)備。
8. Inside-Mail服務器根據(jù)自身注冊記錄，將郵件轉(zhuǎn)發(fā)給Inside端的PC。

實驗

實驗拓撲

實驗需求
橙色區(qū)域為一臺Windows Server 2012 R2 同時模擬Outside方向的郵件服務器和DNS服務器，綠色區(qū)域為另一臺Windows Server 2012 R2同時模擬Inside方向的郵件服務器和DNS服務器。需求如下

• 當Outside向Inside發(fā)送電子郵件時，如果正文包含“Fuck”，且附件名包含“Cisco”，則ESA將執(zhí)行“退信”動作。

實驗說明

• 所有設(shè)備均在vSphere 6.5環(huán)境中完成
• Windows Server 2012 R2中DNS服務已大家完成，搭建過程忽略
• 搭建郵件服務使用的工具為，Winmail 6.5，下載路徑為：https://pan.baidu.com/s/1WEyZmSpZpIjQVuFw-3Kepg
  提取碼：hzt6
• Cisco ESA的安裝與初始化過程通Cisco WSA類似，本實驗之間省略。ESA下載路徑為：https://pan.baidu.com/s/1V5S_-Fg55Y2JEOWGSjxCaw 提取碼: x25j
• 使用Cisco ESA版本為 9.7.1
• 防火墻為ASAv 9.6
• IP地址分配情況，如實驗拓撲所示。所有設(shè)備網(wǎng)關(guān)均指向ASA。
• ASA為連接測試設(shè)備，默認放行所有流量。

實驗步驟
步驟1：Inside Mail&DNS Server相關(guān)配置

1. 在Inside DNS服務器中添加關(guān)于本服務器和ESA的主機記錄，另外添加MX記錄。如下圖所示。

2. 添加DNS轉(zhuǎn)發(fā)器，如下圖所示。

3. 安裝郵件服務器-Winmail。

• 利用下載連接，直接安裝Winmail軟件，安裝過程省略。
• 安裝完成后，檢查，確保HTTP服務器正常開啟。

• 添加Inside方向使用的郵件域名“inside.com”

• 添加發(fā)送郵件時使用的郵件賬號“inside@inside.com”

• 添加SMTP外發(fā)遞送設(shè)置

• 增加SMTP受信任主機

步驟2：Outside Mail&DNS Server相關(guān)配置

1. 添加本地正向解析記錄和MX記錄

2. 添加DNS轉(zhuǎn)發(fā)器，到Inside DNS服務器

3. 安裝郵件服務器-Winmail。

• 利用下載連接，直接安裝Winmail軟件，安裝過程省略。
• 安裝完成后，檢查，確保HTTP服務器正常開啟。

• 在Winmail中添加Outside方向的域名。

• 添加Outside方向使用的賬號“outside@outside.com”

步驟3：測試收發(fā)郵件

1. Inside設(shè)備登陸本地登陸郵件服務器，使用Inside賬號登陸，向outside@outside.com發(fā)送郵件。

2. Outside設(shè)備登陸本地郵件服務器，使用Outside賬號登陸，查看接收郵件情況。

3. 查看ESA Incomming Mail情況，可以了解郵件經(jīng)過ESA轉(zhuǎn)發(fā)。

步驟4：配置Cisco ESA Incoming Content Filter策略。

1. 為Cisco ESA添加Incoming Content Filters，策略名為“Security-Filter”

2. 設(shè)置必須同時匹配兩個條件，才執(zhí)行“退信”動作。

3. 保存創(chuàng)建的策略。

步驟5：調(diào)用創(chuàng)建的Incoming 策略。

步驟6：重新登陸Outside 郵件服務器，按照實驗要求發(fā)送附件名為“Cisco”正文包含“Fuck”的郵件到Outside@outside.com

1. 發(fā)送郵件

2. 查看“退信”

3. 查看Cisco ESA對郵件的攔截情況。