10款電子郵件稽核產品採購大特輯

根據網路消費協會引用ISP業者的統計資料指出，國內每天流通的電子郵件約2470萬封，其中90%是垃圾郵件。當員工傳送或接收這些電子郵件時，企業必須面臨許多風險，例如電子郵件病毒、生產力降低與頻寬浪費、機密外洩及不當內容所導致的法律問題，建置電子郵件稽核產品是企業當務之急！

從之前的半導體兩大龍頭洩密案、HP電子郵件濫用，到求職信病毒，垃圾郵件滿天飛，企業一年會損失多少錢，浪費多少頻寬，相信大家都聽過不少報導，所以我們直接切入主題，為什麼需要電子郵件稽核軟體。大約3、4年前，廠商就已經推出電子郵件稽核產品，但直到企業資訊安全受到重視，我們也才有機會重新檢視企業的電子郵件是否安全。

企業通常為了以下4個目的，而來稽核（監控及過濾）員工的電子郵件：
1.保護企業商業機密
2.管制網路頻寬使用
3.防治電腦病毒
4.提高員工生產力想了解產品，先了解技術

在了解產品之前，我們建議你先了解相關的技術，才能找到符合的產品。以下我們簡介電子郵件稽核所使用的幾種技術：

Sniffer vs. Mail Relay：目前電子郵件稽核主要有Sniffer與Mail Relay兩種技術，Sniffer主要用來「紀錄與警示」，而Mail Relay則是「過濾與攔截」，除了基本的電子郵件記錄、查詢及報表等功能外，主要的差異在於兩者的產品訴求、使用對象及網路架構，請參閱「Sniffer與Mail Relay比較表」。

關鍵字/詞過濾：關鍵字/詞過濾也是常用的技術，當文件包含某個關鍵字時，系統就會發出警訊，並將該封郵件標記、隔離或刪除。但是許多關鍵字設定想要抓「鮪魚」，卻常常抓到「半條鮪魚」或「海豚」，因為只依靠單一關鍵字很容易造成誤判，建議購買使用加權計分關鍵字比對的產品，可以有效降低系統誤判。另外，加權計分的臨界點也不能訂的太低，或設定太過含糊的關鍵字，不然只會抓到更多的海豚。

我們以實例說明，例如「iThome」給3分、「電腦報」給2分、「周刊」給-2分、「iThome電腦報」給5分，並將臨界點訂為10，當系統檢索到「iThome電腦報」時，總共是10分，所以系統會產生反應，但檢索到「iThome電腦報周刊」時，總分是8分，並不會產生反應，能夠降低系統誤判率。

黑/白名單：黑/白名單的過濾技術與關鍵字相似，可以設定過濾某個IP位址、郵件信箱或網域名稱。同樣以iThome為例，相信不少讀者收過iThome的eDM，若管理員將iThome的郵件伺服器（mail.ithome.com.tw）列入黑名單，那麼也就無法收到筆者所寄出的電子郵件，因為網域名稱已經被列入黑名單。

副檔名比對：電子郵件包含收件人、發件人、主旨、內文及附件檔，其中附件檔可以夾帶任何的資料，不論是文件、圖檔、影音檔、執行檔或壓縮檔，只要是能夠傳送，電子郵件都能帶著走，但隨之而來的是大量的風險，包括病毒和機密資料都很容易隨之散布。我們大都以副檔名判斷檔案的格式，但副檔名卻很容易加以變更，所以稽核軟體必須判斷附件檔的原始格式，而不是副檔名。除此之外，壓縮檔的檔案檢索及文件檔（PDF、DOC）的全文檢索，都比上述的關鍵字過濾技術複雜，能完全支援的產品並不多。

郵件大小過濾：郵件大小過濾則是比較簡單的技術。因為企業網路頻寬有限，若傳送過大的電子郵件，很容易造成網路阻塞，大多數的企業會限定郵件大小和郵箱容量，比較常見的郵件大小限制為2~3MB，信箱則是10MB。
選你要的產品，不要讓產品限制你

大部分的郵件稽核軟體，除了郵件過濾功能，大多還有防堵垃圾郵件（Anti-Spam）及防毒（Anti-Virus）功能，甚至還包含入侵偵測及內容過濾功能。在選購前，管理者需先清楚需求是什麼，是要用在管理稽核或流量管控、使用者有哪些人、需不需要Web管理介面……等。以下是我們整理出的選購要素，希望能讓你選到合適的產品。

企業規模：小型企業一天的電子郵件流量並不多，企業內部的機密文件和人員管控也比較容易，但中大型企業正好相反，除了要做到事後舉証，還要即時監控電子郵件，而且愈重視智慧財產權的企業，其安全政策也越複雜，對於產品的要求也更高。

效能：效能測試主要是分為流量及負載能力，外商的產品可以參考國外公正機構所做的評比，本土廠商的產品就只能自行測試，建議企業在建置前先測試效能，並實際模擬傳輸狀況。硬體設備的等級高低對於效能有一定的影響，但最主要因素還是取決於網路頻寬，若頻寬到達一定的瓶頸，仍必須適當的增加頻寬。

操作介面順暢度：使用中文介面會比較順暢？這是見仁見智的問題，不是所有的管理者都會認同這樣的看法，特別是用慣大型系統的管理者，應該會比較習慣英文介面，同樣的，也有不少使用者習慣使用中文介面，所以我們不會說那種介面比較好，而是建議你實際用用看、比比看，因為用的人是你。

成本與備援：郵件過濾軟體大都是以使用者數量計價，而不是以伺服器數量來計價，若只在閘道（Gateway）處建置單一伺服器，容易造成單一故障點（Single Point of Failure），因此我們建議企業可以額外建置一臺備援伺服器，能多一分保障，而且只需負擔伺服器的成本，不會增加稽核軟體的費用。

產品整合度：電子郵件稽核系統是否能與企業已經建置的防毒系統、目錄系統和管理系統整合？這個問題不僅僅是企業會問，廠商也希望將產品與其他系統整合，只是整合的狀況仍不理想，大多只能與本身的產品整合。

中文化與本土化：由於中文編碼與英文編碼不同，所以在選購國外廠商所開發產品時，最好實際測試是否支援中文檢索，包含主旨、內文、附件檔內文及資料庫。即使是國內廠商所開發的產品，也要注意廠商是否解決中文編碼與資料庫儲存的相關問題。

作業平臺：國內廠商所開發的產品，大都使用Linux及Unix作業系統，但反觀國外產品則支援Windows NT/2000作業系統，雙方各有優缺點，企業除了注意系統的穩定度，也要注意操作的難易度。

品牌與技術：誰能保證5年內這家公司還存在？應該是沒有。以最近的PeopleSoft、J.D.Edwin和Oracle的三角關係為例，誰也不知5年後會存在哪些廠商，若該公司只存在3年，那麼產品後續的維護該找誰呢？選擇名牌似乎也沒有保障。

此外，技術來源也是選購的重點之一，本土廠商所開發的產品，關鍵技術大多掌握在自己的手中；外商則不一定是自行開發，可能是併購其他廠商的產品，需要一定的時間整合相關技術，加上研發團隊可能位於國外，技術支援需要花較長的時間。

網路架構：專家建議電子郵件稽核系統之前最好建置防火牆，而且對網路架構的變動越少越好，基本上Sniffer產品不用變更網路架構，Mail Relay也只要更改DNS及郵件伺服器設定，都不需變動太大的網路架構。

多層附件：有時我們會收到一封郵件包含多層附件，要一封封開啟，才能看到主文，假如一封電子郵件包含20層附件，那麼大多數的郵件稽核系統只能投降，因為在閘道檢查的時間不能過長，所以系統大多制訂一定的時間或層數，若是過多層附件則跳過或予以隔離，比較保險的方法是由管理者自訂政策，以免造成漏網之魚。

再好的管理工具都會有漏洞，沒有百分百完美的郵件稽核軟體，即使再嚴格的安全政策，仍然存在一定的漏洞，管理是要管人心，在執行郵件稽核前，最好先與員工進行溝通。文⊙陳世煌