Symantec Mail Security 4.0

整合防毒、內容過濾與反垃圾郵件，保護電子郵件的安全

明年會流行什麼樣的資安產品呢？是入侵偵測、防火牆還是內容過濾（網頁、郵件、即時通訊），觀察各家資安廠商的動態，內容過濾應該會是明年的主力，包括CA、Websense及Symantec都搶在年底推出相關的產品。

Symantec Mail Security 4.0 for Microsoft Exchange（原名為Symantec AntiVirus/Filtering for Microsoft Exchange，以下簡稱為SMS）是Symantec 最新推出的整合型郵件安全解決方案，產品包含防毒、內容過濾及反垃圾郵件等功能。

SMS會掃描傳送到Exchange伺服器信箱和公用資料夾的郵件與附件檔，掃描郵件是否存在已知的病毒，然後再利用賽門鐵克Bloodhound啟發式技術來檢查是否有未知的病毒，這個技術會偵測是否發生自我複製檔案等不正常行為，找出可能受感染的檔案。最後是過濾內容（郵件稽核），系統會套用設定好的過濾子政策（Filter Subpolicy），包括郵件內容及附件檔案名稱、類型與大小等條件，直接過濾掉郵件，以減少Exchange伺服器的流量，增加使用者的生產力。只執行過濾內容過濾，不做Mail Relay

大部分郵件稽核產品的主要功能是監控與防止機密資料外洩，防毒和反垃圾郵件則為選購的模組，而且會分開架設過濾與郵件主機，例如Symantec AntiVirus/Filtering for SMTP Gateway。賽門鐵克資深系統工程師杜俊霖表示，SMS的主要功能是保護電子郵件的安全，而不是在監控員工郵件上寫些什麼，為了系統效能與整合性，Symantec將SMS與郵件主機安裝在一起，雖然SMS與Exchange安裝在同一臺伺服器是安裝在同一起，但真正收信的是Exchange Server，SMS只針對進出的郵件進行內容過濾，本身不會做Mail Relay。

在Symantec原廠網站上，填寫資料就可以試用SMS 30天。SMS安裝過程很簡易，只要填寫IP位址、管理者的電子郵件和一些簡單設定就能完成，如果企業有使用SESA（Symantec Enterprise Security Architecture，收集賽門鐵克及其他廠商產品產生的事件），只要在安裝時輸入SESA伺服器的IP位址，系統的防毒與內容過濾事件就會自動記錄到SESA中，並可與其他不同層級的閘道防毒系統產生的安全事件，進行訊息彙整，提供更完整的報表功能。

我們使用瀏覽器就可以開啟Web管理介面，整體風格與Symantec其他的產品類似，都是以文字、核取方塊及下拉式選單呈現。管理介面的左邊是用樹狀結構列出主要功能，右半邊則是設定的細項，讓管理者在同一個頁面就能完成相關的設定。SMS是使用英文介面，支援多國語言版本，包含英、日、韓、中及拉丁語系等，廠商並有提供中文操作手冊。依照我們的使用經驗，在設定過濾政策前，最好詳細閱讀使用手冊，或由專人指導，以免設定錯誤浪費許多時間。

為了降低使用產品的門檻和維護人力的需求，Symantec提供「零維護模式（Zero Maintenance Mode）」，只要安裝完SMS系統，即可提供基本保護，不需要額外設定，對於沒有MIS人員的企業，可有效降低管理成本。去除電腦病毒主要傳播途徑

SMS有自動防護掃描（Auto Protect）、排程掃描及手動掃描等3種防護類別，管理員可以視需要執行手動掃描或設定排程。只要開啟自動防護功能，SMS就會掃描所有傳送到Exchange伺服器的電子郵件、附加檔案及公用資料夾訊息，即時偵測出病毒，包括常見的壓縮與編碼格式（ARJ、CAB、LHA/LZH、LZ、MIME、UUEncode及ZIP等）。

如果系統偵測到病毒，我們可以選擇修復、隔離、刪除或記錄等處理方式，自動偵測與移除病毒，避免遭受病毒的侵襲。SMS的防毒功能與Symantec的防毒軟體相同，同樣可以從「賽門鐵克安全機制應變中心」下載最新病毒定義檔，進行自動更新。

此外，如果在某一段時間內，所偵測到的病毒數量超過特定值時，系統會判斷為病毒爆發（Outbreak），例如在1小時內偵測到25隻病毒，或是1小時內同一個附件被傳送了10次。這時系統會傳送電子郵件或警示給管理者，並採取應變措施，例如刪除郵件或附件，直到狀況控制後，才會結束爆發事件。這個病毒解析程式（Decomposer）內建在產品之中，能在病毒在擴散初期就得以控制，並可透過LiveUpdate自動升級，不需要安裝其他程式或產品。定期稽核才能有效過濾垃圾郵件

垃圾郵件會消耗寶貴的頻寬與電子郵件儲存空間，並且對一般使用者的生產力造成不良的影響，對企業的電子郵件資源造成重大的威脅。國外已經開始立法管制垃圾郵件，但國內正剛開始討論，如果要等到立法通過，似乎還有得等。在還沒有法律約束之前，「反垃圾郵件」只能自力求濟，最好利用軟體過濾垃圾郵件。

SMS結合DNS黑名單、自訂比對清單，以及特定內容過濾規則等「多層式技術」，以有效偵測出垃圾郵件。當系統認定該封郵件為垃圾郵件，管理者同樣可將它刪除、記錄或移除附件檔，或者使用訊息標籤，在郵件的主旨列加上「SPAM」、「垃圾郵件」之類的識別字，方便使用者辦識。要注意的是，目前並沒有能夠百分百過濾垃圾郵件的產品，頂多只能達到8成左右，過濾垃圾郵件的成效與管理者定期調整稽核政策成正相關，而且在制定過濾政策前，最好先與使用者討論相關的處理措施，以免誤刪正當的郵件。

除了垃圾郵件，企業為了保密與安全等因素，會過濾包含機密資料或色情等不當內容的郵件。SMS可以利用字典檔對郵件內容進行字串比對，過濾掉特定的單字、片語、主旨及寄件者，即使是將附件檔偽裝成其他格式，例如「.MPG」偽裝成「.DOC」，還是可以掃描該文件內容，因為系統是偵測附件檔案的Meta Data，不過加密檔案和某些壓縮格式則無法支援。

如果你還有印象，應該會記得Symantec用在網頁過濾的「動態文件檢視（DDR，Dynamic Document Review）」技術，它能過濾不當的網頁內容，相同的功能也可以用來過濾郵件內容，DDR技術能夠分析郵件文字，如果分數超過容許值就予以阻擋過濾，以降低系統錯誤率。

同時，SMS的每一條過濾規則都有其指定的屬性，例如主旨、寄件者、附件大小等，並且由1項或多項運算式所組成，配合IF、AND、OR或UNLESS等條件，當某項運算式成立後，系統便會執行指定的動作，例如在求職、色情及賭博這3項的分數超過50分就加以刪除，除了（UNLESS）由ithome.com.tw所寄出的郵件。管理者可以將過濾規則套用到Exchange儲存區、內送SMTP郵件或外送 SMTP郵件。

在計費與授權方面，如果企業單獨採購SMS，則以連結到Exchange Server群組的使用者數量計費，產品並提供一年免費LiveUpdate服務，一年後則要購買授權才能更新病毒定義檔。文⊙陳世煌