IronPort C30

整合多項過濾技術，一機搞定郵件過濾

IronPort原先是一家製造郵件伺服器（發送電子郵件）的公司，隨著垃圾郵件日趨嚴重，他們開發出SenderBase寄件者信譽服務，用來確認寄件者是否在發送垃圾郵件，之後又收購知名的反垃圾公司SpamCorp，以更深入了解垃圾郵件。萬事具備之後，也就堆出了垃圾郵件過濾產品-IronPort C系列。用信譽評等控制流量、抵制攻擊、防範蠕蟲

目前IronPort有A系列和C系列等2大產品線，A系列是用來發送電子郵件，而C系列則用來處理垃圾郵件。

C系列的系統運作方式是先進行SenderBase信譽評等，然後執行內容掃描、BrightMail垃圾郵件過濾，最後再執行Sophos掃毒，同時解決垃圾郵件、郵件稽核、郵件攻擊、病毒及郵件傳輸等問題。

SenderBase和BrightMail都是用來過濾垃圾郵件。SenderBase統計全球9000個ISP的寄件者相關資料，包括發信量、IP位址、域名、所在地……等資料，然後加以評分，得出「信譽評等」分數。信譽評等分數介於±10之間，數字越大代表越安全，例如Hinet網站是7.5分，PChome入口網站是5.4分，可至SenderBase網站（www.senderbase.org）查閱相關資料。

IronPort是依照寄件者的信譽來執行政策，評價較高的寄件者，例如客戶或合作夥伴，他們的信件將不受限制的轉送給收件者，評價低的郵件則會被拒絕或限制其傳輸速度，管理者可限制訊息接收數、連結數、最多收件者，或是在郵件主旨加上標記。Brightmail偵測SPAM

Brightmail會評定電郵件的垃圾郵件分數，從0至100分，分數越高，代表是垃圾郵件的機率也越高。企業可自行設定「可疑垃圾郵件門檻」，當郵件分數達到此門檻即執行指定動作（傳送、標記、刪除），一般設定在50~75分之間，但必須注意的是，攔截率越高，誤欄率也會越高。

由於垃圾件無孔不入，不時改變郵件內容，所以Brightmail每天會釋出3萬筆新規則，大約每隔10分鐘就更新一次過濾引擎，可惜的是，管理者僅能使用系統預設值，在設定頁面看到標題、內文、啟發性……等5大規則的更新時間，並無法自行去變更Brightmail的規則內容。

在進行信譽評等與Brightmail檢查的過程中，還可以套用內容過濾功能，依照企業的電子郵件政策，掃描郵件訊息的主旨、內文及附件中的關鍵字。大部分的垃圾郵件過濾都沒有內容過濾功能，除了定位問題，系統效能也無法負擔，所以內容過濾也是IronPort的特色之一。

Flow Control功能是IronPort蠻獨特的功能。以往，郵件伺服器發信的順序是依照電子郵件進入的先後順序，即使是重要的信件也得排隊，但Flow Control則可依照群組進行排序，讓高層主管的信件先行發送。此外，如果企業內部有多臺郵件伺服器，IronPort還可以將信件依據類別，分配到不同的伺服器進行發送，避免擔擱到重要的商務信件。

TCP Refuse也是好用的功能之一。有一些垃圾郵件過濾產品是下載完信件後，才能進行檢查，這樣不僅會影響到系統效率，也浪費許多網路頻寬，但TCP Refuse能在通訊一開始連結即予以拒絕，不會進行後續動作，特別適用於黑名單的寄件者。降低郵件伺服器的負擔

垃圾郵件過濾產品除了降低員工的負擔，同時也能降低郵件伺服器的負擔，但反過來思考，有哪些因素會增加郵件伺服器的負擔？病毒、垃圾郵件，甚至是離職員工，都是因素之一。

離職員工跟郵件伺服器負擔似乎扯不上關係，但如果這位員工每天會收到上百封的信件，訂閱了數十種電子報，這些信件並不會因為他的離職而消失，在日積月累之下，郵件伺服器光處理退信就耗費大量資源。IronPort可以跟LDAP等目錄伺服器結合，直接刪除或拒絕離職員工的信件，減輕郵件伺服器的負擔。

前面我們有提到，IronPort原先是一家製造郵件伺服器，所以C系列除了過濾接收的郵件，也能過濾發送的郵件，具備郵件稽核功能，防止員工發送不當郵件。為了提高發信效率，Virtual Gateways功能可以虛擬出多個IP位址，讓系統同時發送多封電子郵件，最多可一次發送255封電子郵件。

在流量監控方面，管理者登入後，就有即時圖表顯示當時的流量狀況，也能夠查閱每位發信人的流量報表，包括訊息大小、歷史流量、接收和拒絕流量……等資訊。當發生大量垃圾郵件或異常發信量等狀況時，系統會通知管理員，以便即時調整政策。結合目錄伺服器以提高攔截率

在硬體設備方面，C30是使用Dell伺服器，具備單顆Xeon處理器、2顆SCSI硬碟（共73GB）、2個Gigabit和1個10/100 BASE-T網路埠及2顆250瓦電源供應器，特別的是，這兩顆電源供應器都是啟動狀態。作業系統則是經過安全性強化的AsyncOS，所有與郵件相關的服務均已刪除。

我們實際將IronPort C30架設在iThome內部環境中。經過事前的評估與討論，整個安裝與設定過程約半小時，大多依照系統預設值，沒有增加其他政策（黑白名單、郵件規則），而信譽評等是設定在-7至-10之間，可疑垃圾郵件門檻設在50分。旭昇表示，系統預設有4條政策，以他們的經驗，最多只要再增加2條即可。

在我們的測試環境中，C30是獨立運作，未結合LDAP及AD等目錄伺服器。經過10天的測試，C30總共檢查83248封郵件，其中22.0%是垃圾郵件、2.8%是疑似垃圾郵件，並有15419封病毒郵件（大多是Netsky.D）。以筆者收到的信件為例，C30過濾掉所有的病毒信，但只過濾一半的垃圾郵件，而且有一些郵件接收2次，一封判定為SPAM，另一封則未經過C30。

經過統計，iThome的Brightmail Positive是25%左右。旭昇表示，若結合LDAP或AD，Brightmail Positive應該可以達到45~55%，若沒有結合目錄伺服器，一些垃圾信件仍會傳送給使用者，所以只過濾掉50%的垃圾信件，建議企業在建置時結合目錄伺服器；若結合LDAP、AD等目錄伺服器，當C30在目錄伺服器找不到收件者的帳號，就會將郵件退回，並歸類為垃圾郵件。另外，由於我們並沒有新增任何黑名單或其他政策，適度增加後，應該也會提高攔截率。

另一個狀況是，使用者會收到兩封信，一封判定為SPAM，另一封則無，原因在於iThome內部有3個MX（Mail Exchange），如果同時接收多封電子郵件，當IronPort正在檢查郵件時，後續的一些信件會先送給使用者，必須建置多臺IronPort才可以解決。

在效能方面，雖然我們開啟全部的模組，但似乎對效能沒有太大的影響。旭昇表示，雖然打開全部模組會造成效能下降，但影響並不大，幾乎他們所有的客戶都開啟全部模組。C30的產品售價約125萬元，C10是75萬元，C60是275萬元，Brightmail、Sophos防毒及安裝服務都是選購。目前旭昇正在開發個人化設定與隔離所監看程式，讓一般使用者可以查看隔離所的垃圾郵件內容、設定個人白名單，或是將郵件還原。文⊙陳世煌