郵件安全設備－中華數位SPAM SQR 50

SPAMSQR 50是SPAM SQR系列較適合中小型企業所使用的一款設備，可用來處理單日小於1Gbps的信件流量。新的2.3版韌體在功能上有多處修改，除了原有的每日、每小時郵件數量長條圖之外，也加入了圓餅圖，使管理者可以了解從設備上線至今、今日以內，正常通過以及被攔截的信件比例，以便做為日後調整設備組態的參考依據。新版韌體也允許使用者透過Web介面回報被攔截下來的正常信件，藉以訓練設備辨識垃圾郵件的靈敏度，進而降低誤判的機率。

當我們把SPAMSQR 50以透通模式的架構放置在郵件伺服器前方，並從Web介面設定郵件伺服器的IP位址之後，設備就可以開始過濾來自外部網路的郵件流量（假設DNS、防火牆均已設定妥當）。

由於我們採用Exchange Server 2003做為後端的郵件伺服器，因此可以將AD伺服器上的收件者帳號匯入到SPAMSQR 50進行更加精細的管理。除此之外，像是常見的LDAP、NNTP協定、上傳文字檔以及手動輸入等方式，設備也有提供。利用這份清單，我們可以指定特定群組或帳號的郵件可以不經設備過濾，就放行進入郵件伺服器，以避免產生誤判，而必須手動撈信的麻煩。另外，也可以設定是否對收件者帳號寄送攔截郵件的明細報表。

所有從外部網路進入的郵件流量，預設會側錄一份儲存到設備內建的80GB硬碟，為了不讓硬碟空間快速爆滿，也可以修改設定，將郵件儲存到其它更大的網路磁碟機，或者直接丟棄，以節省硬碟空間的消耗。

採用三層架構判定郵件身分
郵件到達SPAMSQR 50之後，必須經由三層的過濾檢查，確認不是垃圾郵件之後，才會放行到後端的郵件伺服器。在第一層架構當中，SPAMSQR 50會從過濾名單，以及RBL資料庫下手，檢查郵件是否來自於經常濫發垃圾郵件的IP位址。除此之外，DoS防禦也是該層架構當中的其中一環，當設備偵測到網路上的其它電腦正在狂發郵件，或者建立大量連線時，預設會封鎖與該臺電腦之間的連線12個小時，並且發出郵件向管理者提出警告，關於這項功能，我們可以訂立所謂的黑白名單，將狂發垃圾郵件的電腦IP位址，以及正常發送，但是次數過於頻繁的郵件伺服器分別加入黑名單與白名單內。

第二層則是透過管理者所自行設定的過濾條件，比對來往信件是否符合垃圾郵件的定義。至於最後一層過濾，則是從傳統的垃圾信特徵下手，關於這部份，SPAMSQR 50一共設立了6個黑名單評分項目，2個灰名單評分項目，以及一些符合正常郵件定義的白名單規則，當郵件符合黑名單項目當中的其中一項，就會得到3,000分的分數，灰名單的部份則是1,500分。若最後的累加分數大於500分，就會被視為垃圾郵件而遭到攔截。

在黑名單郵件的評分項目中，郵件規則（如內容鮮少且純圖片連結且無附檔）占了其中4項，另外兩項則是透過不時更新的惡意郵件資料庫進行內容比對，一個是用來比對圖片式垃圾郵件的ASRC特徵分析，另外一個則是判別釣魚郵件的垃圾郵件惡意滲透分析資料庫。

可藉由3種方式訓練設備辨識的靈敏度
管理者可以藉由貝式過濾法的3種方式訓練設備強化辨識。其中一項是所謂的自動學習，說明書建議我們可以在設備上線一天之後開啟這項功能，藉由分析歷史郵件的動作，提高垃圾郵件過濾的精細程度。

除此之外，我們也可以自行上傳樣本郵件讓設備自我學習，或者如同一開始所提到的，透過Web介面的回報機制，從攔截下來的信件中，找出那些是屬於正常內容的，並放置到白名單當中。不過值得我們注意的是，在使用這項功能之前，必須先行建立郵件伺服器的收件者帳號清單，否則僅能登入，而無法使用相關的各項功能。

過濾效果良好
實際測試是從iThome的郵件伺服器，以編輯.forward檔的方式將幾個帳號的所收到的郵件，分別轉寄給測試郵件伺服器上的10個不同帳號，以測試設備對於不同特徵垃圾信的過濾效果，在4天的測試時間內，設備一共收到7,632封的郵件樣本，其中標示為垃圾郵件的數量為7,224封，正常的郵件數量為408封（垃圾信遠多於正常信的原因是信箱本身久未使用），在沒有刻意調校的情況下（只在設備上線的第2天啟動自動學習的功能）。這款設備的過濾效果相當良好，除了少數幾封發件人位址被變造成xxxx＠mail.ithome.com.tw格式的垃圾信件無法被過濾之外，其它的信件均能被正常辨識。關於這個問題，管理者可以自行設定信任發信網域的白名單與信任IP來源位址之後，就得以改善。

郵件防毒是SPAMSQR 50的選購模組，未包含在內建功能當中，目前設備提供Kaspersky與Sophos兩種引擎可供企業用戶選擇。在沒有加掛模組的情況下，設備仍然可以從附檔檔名，檢查信件本身是否夾帶病毒，這裡我們從其它的外部信箱寄送一封含有Eicar病毒測試檔的郵件給Exchange伺服器上的收件人，雖然設備並未阻攔，不過從Web介面的郵件記錄當中，會以黃色區塊特別標記，提醒管理者對於收到該信件的用戶端電腦採取適當的方法進行處置。

離線報表以HTML為主
SPAMSQR 50具備項目精細的線上報表，包含流量統計，來源統計，以及阻擋統計等報表；除了純文字的統計數據之外，報表當中也包含了容易理解的圖形畫面，預設的發送次數為每天兩次，以HTML格式為主，而廠商未來也計畫提供PDF格式的輸出選項，以增加離線報表功能的可用性。文⊙楊啟倫