對於企業而言,目前最常使用的對外、對內聯絡方式為電子郵件。但電子郵件除了在協同合作上非常有幫助外,但也隱藏著許多潛在危機,例如資料外洩,員工可能一不小心外洩客戶個資,或者有心人士將企業機密流露出去,所以企業需要透過郵件稽核設備阻擋這些問題信件。

而所謂的郵件稽核設備,其實是將稽核功能額外獨立成一臺設備,替不具備稽核功能的郵件伺服器稽核信件。但目前也有所謂的多功能郵件伺服器,設備本身除了能夠收發信件外,也具備防毒、防垃圾信、郵件稽核等功能。

基本上,所謂的郵件稽核共分成前稽核與後稽核2種作法。

就前稽核的產品而言,管理者大多能夠在上面設定稽核條件,來比對郵件的寄/收件人、郵件內容、附件內容等資訊,是否符合設定值。若是符合,則能夠設定相對應的處理動作,像是放行但保留寄信記錄,以及刪除、審核等。

而後稽核功能,主要為郵件備份和查詢信件。設備能夠將進出的所有信件備份起來,而管理者能夠在網頁後臺設定條件調閱信件。而有的甚至能夠設定稽核條件,只要符合條件的信件一有進出的行為,則會寄送通知信告知管理者。

郵件前稽核目的在於阻擋機密資料外洩

目前企業在實行郵件稽核方面,在功能設定上大多都以後稽核為主。這是因為,導入後稽核功能可以將信件備份起來,一來多一分保障,二來能夠做為證據使用。並且,導入後稽核幾乎不會影響到既有網路環境的架構與使用者。

但郵件前稽核的部分,則較少企業去實行。這是因為導入前稽核功能時,除了多少需要改變環境設定外,更大的原因則是──IT人員並無主導權。

因為導入時,對於稽核條件的比對內容、套用群組、稽核人員等設置,並不是單憑IT部門就能夠決定的事情,而是需要各部門主管一起討論。並且,稽核條件設置後,信件處理流程將有所變化,會大幅度影響到企業員工的日常工作。所以,大部分企業的IT人員,若非上層要求導入前稽核,通常都會選擇使用郵件備份做為後稽核。

但是,使用後稽核功能在郵件稽核的實施上,是比較被動的做法,因為它只能夠備份信件,並不能夠阻擋事情發生,企業只能在事發後,藉著郵件做為證據,並走法律途徑尋求賠償。

企業在保護機密資料的方式上,固然可以選擇使用DRM(Digital Rights Management,數位版權保護)、DLP(Data Loss Prevention,資料外洩防護)等方式來做。但是,企業內的員工最常使用的訊息傳遞工具,依舊是電子郵件,所以仍需要設法阻擋機密資料透過電子郵件流出。

再加上這幾年個資法議題的關係,前稽核功能則越顯重要,所以我們這次採購特輯的重點,主要放在郵件稽核設備上的前稽核功能。

實測5款郵件稽核設備的發現

此次受測產品的選擇上,我們以具備郵件前稽核機制的設備為主,且在前稽核方面,要求需具備阻擋郵件、掃描附件等功能。我們一共測試了碩琦、基點(Cellopoint)、桓基、網擎及中華數位共5家的郵件稽核設備。

這5臺設備皆具備郵件前稽核,也有防病毒、垃圾信郵件功能,而除了網擎以外,其餘4家則還提供了後稽核的功能。而在測試方面,我們是在iThome的環境中,讓設備整合Windows AD。同時,透過微軟Exchange Server來收發使用者郵件,來驗證前稽核功能。

各家皆提供個資稽核條件,差異在於設定介面的親合度

在前稽核功能方面,實際測試過後我們發現,每家的前稽核功能除了基本的寄/收件人、郵件標題、附件大小外,也都能夠針對郵件內容、附件內容等重要欄位,去進行條件比對。我們看到其中最大的差異,在於稽核條件設定時的難易度。

以稽核條件來看,各家都有個人資料相關的條件,像身分證字號、住址、電話,以至於銀行帳號、信用卡號、護照號碼,都能夠進行資料比對。但在設定方面,則有明顯的差異。

例如,在設備上設定稽核條件時,除了能設置關鍵字外,通常還可以設定正規表示式,來比對有規則的字串,也就是像身分證字號、生日這類有規則性的資料。

而我們也發現到,廠商在實作上,通常會有2種做法,一種是將規則內建在設備,管理者只需勾選即可,但不能修改條件;另一種是建立成範本,並內建於系統中,但管理者能夠修改其中內容。

而此次測試設備中,碩琦與網擎則屬於前者──管理者不需要對條件進行太多的設定,只需要選擇即可;而基點、中華數位與桓基則屬於後者──雖能夠修改條件,但在設定上較前者複雜,需花時間熟悉。有的產品目前尚未將稽核條件內建在系統中,管理者需索取稽核樣版設定檔,匯入系統後才有(例如:桓基)。

前者在設定稽核條件時,管理者只需要選擇郵件欄位,並將所需要的稽核條件勾選及完成設定;而後者的介面,由於使用正規表示式,像基點是將稽核條件定義在郵件條件中,管理者在設定郵件政策時,就能夠選擇條件加入郵件政策中;但若像桓基僅提供樣版,管理者在稽核條件中要設定多規則時,則需自行複製正規表示式的條件,另行設定條件。

而稽核時除了能比對信件內容,大多設備也能夠掃描附件內容,像是微軟Office、PDF、TXT等檔案,都能夠掃描比對當中內容的字串。此外,它們也能夠設定將加密文件或壓縮檔阻擋下來,以及將壓縮檔解壓縮後,掃描裡面的檔案內容。

而稽核人員在審查信件的時候,除了能進到系統內直接稽核外,大多也都有通知信功能。稽核人員可以透過通知信內的連結,直接查看信件內容外,也能夠執行刪除、放行等稽核行為。而桓基還提供了連結時效的機制,當稽核信超過設定時間後,連結則會失效。

具備郵件備份及搜尋功能外,還能夠針對外部網路信箱郵件進行歸檔

除了網擎沒有後稽核功能外,其他4家都具備。後稽核功能主要分為郵件備份及歸檔搜尋,以郵件備份來說,管理者能夠設定將進出設備上的所有信件備份下來,並且能選擇郵件的寄送方向。而這種備份方式,每個設備都有具備。

但是像Journal(日誌)備份功能的話,則不是每臺設備都提供,有的需付費購買授權才能夠使用。將Journal納為內建功能的廠商有中華、桓基與碩琦,但用基點的產品時,則要購買Journaling模組授權,才能使用。

在後稽核部分,我們發現到中華數位的產品支援非常特別的網路信箱歸檔功能,它能夠將目前市面上較主流的網路信箱的郵件備份起來,支援的信箱有中華電信、雅虎、Hotmail等8家。但該功能需搭配交換器的Port Mirror功能,將整體網路流量複製一份到設備上,並使用Sniffer將符合信件備份下來。也因為這樣的機制,像Google這種使用HTTPS加密傳輸的網路信箱,目前則無法備份信件。

具備LDAP整合及防毒、防垃圾信功能外,也提供了交談記錄及ZIP加密等特殊功能

稽核設備除了前、後稽核功能外,大多也提供了LDAP整合與防毒、防垃圾信功能。

在LDAP整合方面,我們以Windows AD去測試,每家產品都能正常將帳號資料取出。在主要功能方面差異不大,在測試時,我們很驚訝地發現有些廠商在設定方面很貼心。像基點的設備在設定AD時,管理者選擇LDAP主機類型後,系統就會在欄位中填上對應的範本資料,像是Windows AD中的OU、DC等指令,方便管理者進行設定。

除此之外,還有看到中華數位的設備,它以AD同步的資料,所延伸出來的自動同步職稱設定。透過AD資料中的職稱,讓管理者在系統裡,直接將管理權限與職稱對應,讓管理者快速部屬管理者帳號。

在防毒、防垃圾信方面,大多廠商都是使用ClamAV這類免費的防毒引擎,並能讓企業選購其他廠商的防毒引擎。而防垃圾信則是提供灰名單、貝氏過濾法等基本功能。

我們在這次的測試中,發現到有些產品的功能很獨特,它們分別是用於查詢信件的交談記錄,以及寄送郵件時的ZIP加密功能。中華數位的交談記錄功能可以幫助管理者找尋信件,它能夠將信件前後相關的寄/收件人,所寄送的所有信件全部調閱出來。

而網擎的ZIP加密功能,則能夠設定條件加密郵件,並能夠選擇加密方式及密碼長度。當信件符合條件時,系統會自動將該信件加密成ZIP檔,並寄送密碼給寄件人,讓收件人與寄件人聯絡取得密碼,此舉目的是要確認信件的收件人為本人。

如何測試郵件稽核設備

由於我們這次測試重點為郵件稽核設備的前稽核功能,所以我們準備了微軟Exchange Server作為郵件伺服器,以及Windows AD環境,來測試設備是否能夠透過稽核條件,將具機敏資料的郵件給阻擋下來。

我們在iThome的環境中,讓個人端電腦透過Outlook收發郵件。而我們準備的樣本共分為兩類,一類是在郵件內容加上機敏資料,另一類則是將機敏資料以DOC、XLS、PPT、TXT的檔案形式,將附件夾帶在信件中寄送。而在附件方面,還執行了副檔名格式真偽的測試,我們將具內容的TXT檔,以改附檔名的方式轉成MP3、JPG來寄送。

郵件稽核條件已納入個人資料的保護

此為碩琦的郵件稽核產品在設定稽核條件頁面中的方塊,管理者只需選擇稽核的欄位,以及比對資料類型,並勾選需要稽核的資料內容,就就完成稽核條件設定。

有些郵件稽核設備提供加密功能

此為網擎郵件稽核產品的ZIP加密功能,它能夠設定郵件的加密類型、加密範圍,以及密碼長度。只要信件符合條件,系統就會加密信件寄出,並將密碼寄送給寄件人,讓收件人主動與寄件人聯繫並取得密碼。


相關報導請參考「郵件稽核設備採購大特輯」

熱門新聞

Advertisement