加强邮件附件监控 提高Exchange安全

邮件的附件,向来是病毒传播的温床。现在某个用户受到这么一封带附件的邮件。用户是否该打开呢?根据笔者的了解,如果是企业的普通用户,那么90%以上会选择打开。而如果是系统管理员,则基本上不会打开。这也就是说,邮箱系统管理员不应该将识别邮件附件是否有危害的责任推卸给普通的用户。而应该采取积极的措施来加强对邮件附件的监控与过滤,以提高Exchange系统的安全。

一、对附件进行筛选和过滤。

在Exchange服务器系统中,可以通过附件筛选在服务器级别应用筛选器,以便控制用户接收的附件。简单的说,就是在服务器上对一些可疑的附件进行甄别。如果发现有比较可疑的附件(如以EXE扩展名的可执行文件),就直接过滤掉,而不转发给用户。如此的话,就可以不需要用来来判断这个附件是否安全。在现在的网络环境中,很多附件都包含有病毒或者木马。如果不小心打开的话,就会损害Exchange服务器以及企业网络环境的安全。为此笔者就非常赞同在服务器级别上对邮件的附件进行筛选,而不是说让终端的用户去进行甄别。

针对邮件筛选和过滤,Exchange总共提供了五种实现的机制。通常情况下,系统管理员要根据企业具体的情形,来选择使用合适自己的方式。

一是基于文件名或者文件扩展名的筛选。这是比较常见的筛选方式。如有些企业出于安全的考虑,会将一些以EXE或者TXT为扩展名的附件过滤掉。此时采用的就是这种基于文件名或者文件扩展名的筛选机制。

二是基于MIME内容类型来进行筛选。其实MIME内容是某些特定类型文件的总称。通常情况下,在Exchange中,MIMEneir 类型表明邮件的附件式JPEG图像,可执行文件或者其他特定的文件类型。这里需要注意其有特定的表示格式,通常是以type/subtype的形式来表现。如JPEG的图像类型就可以表示为image/jpeg。系统管理员要熟悉这种表示方式。因为在实际工作中,这是进行筛选器配置的比较便捷的方式。

三是阻止整个邮件和附件。如果附件违反了筛选器的规则(如附件是以EXE结尾的可执行文件,筛选规则禁止这种类型的附件通过),此时邮件正文是否要发送给受件人呢?这个策略就是来规定这方面的内容。在Exchange中,可以组织与附件筛选器匹配的附件以及其整个电子邮件传入邮件系统。简单的说,此时是将电子邮件的正文与附件作为一个整体来对待。如果系统基于筛选策略阻止了邮件或者附件,那么发件人仍然会受到发送状态通知邮件,表明某个邮件因为附件违反了规则而被过滤掉了。此时如果发件人对此有异议,还可以联系系统管理员来解决。这里注意,最好也能够同时告知收件人。因为有些附件可能发件人是合法的,如是客户。当某个附件有问题时,收件人了解这个情况后,可以跟客户确认相关的内容。如果确认这个附加没有问题,那么收件人就可以通知系统管理员,暂时允许这个附件通过。

四是剥离附件但是允许邮件通过。这个方式就跟前面第三种方式有本质的区别。此时系统是将邮件的附件与正文当作两个不同的部分。如果只是邮件的附件违反游戏规则,而邮件本身是正常的话,那么就允许邮件通过。在Exchange中,可以删除与附件筛选器所匹配的附件,但是仍然允许电子邮件一起其他任何与筛选器不匹配的附件通过。如现在一封邮件由正文和两个附件构成。两个附件分别是一个EXE执行文件(符合筛选器的筛选规则)和一个DOC文件(不符合筛选器的筛选规则)。此时收件人会收到哪些信息呢?其收到的信息包括DOC文件、邮件的正文以及某个提醒信息(如果系统配置了的话)。而只会过滤掉Exe可执行文件。如果附件被拒绝了,那么系统就会自动将其转化为一个文本文件。当然这个文本文件并不是附件原先的内容。而是解释删除这个附件的原因。默认情况下这个是系统默认的配置。如果系统管理员不需要这个提示信息,也可以通过系统配置来进行调整。

五是自动删除邮件和附件。这种措施可以阻止与附件筛选器匹配的附件以及整个电子邮件传入邮件系统。如果系统阻止了附件和电子邮件,则发件人和收件人均不会收到通知。对于这种措施,笔者并不建议使用。因为只要一违反游戏规则,系统就会自动将邮件以及附件删除掉。此时就相当于一下子将这封邮件判为死刑,连申诉的机会都不给。这么操作的话,就有一定的安全隐患。因为系统的判断并不是百分之百的准确的。如果一下子就将邮件判为死刑,就做得太过于绝对了。为此如果没有特殊的必要,不要采用这个过于激烈的措施。

二、筛选器配置注意事项。

在配置筛选器游戏规则时,主要需要注意如下内容。

一是需要善于使用通配符。在设置筛选器游戏规则时,可以使用通配符。如现在要表示所有以exe为扩展名的附件,则可以以*.exe这种方式表示。在筛选器中使用通配符,能够提高系统配置的灵活性。基于文件名或者文件扩展名来进行筛选,系统管理员可以指定需要筛选的准确的文件名字或者文件扩展名来筛选附件。不过通常情况下,是通过指定文件扩展名来实现。其实这个文件扩展名就是通过通配符来实现的一种方式。系统并不认识文件的扩展名。

二是需要注意选择违反游戏规则时系统会采用的处置方式。简单的说,包括三种:阻止整个邮件和附件、剥离附件但是允许邮件通过、自动删除邮件和附件。此时主要需要注意,第一种方式(阻止整个邮件和附件)以及第三种方式(自动删除邮件和附件)之间的区别。虽然他们最终没有转发到收件人那边,但是其本质还是有所区别。第三种方式服务器一发现有违反游戏规则的邮件附件,就会马上自动将邮件以及附件删除掉。而第一种方式的话,其只是不转发,而邮件与附件仍然保存在服务器上。如果收件人确实需要查看这个邮件或者邮件附件(其确认这封邮件及附件没有任何问题),此时收件人就可以要求系统管理员手工转发这封邮件。这相当于在服务器上有一个缓冲带,可以稍微缓冲一下,等到用户的确认。而采用第三种直接删除的方式,就没有这个缓冲的功能。为此,笔者更加倾向于采用这第三种方式:阻止整个邮件和附件。

三是需要注意,当有违反游戏规则的情况发生时,需要告知给哪些人?笔者认为,一般需要告知给收件人、发件人以及系统管理员。不过系统默认的情况下,所采取的策略不同,其告知的对象也是不同的。如采用剥离附件但是允许邮件通过的方式,如果有某个附件被认定为违规,则系统会自动将这个附件转换为文本文件(文本文件中说明了附件被过滤的情况),向收件人解释这个附件被过滤的原因。当然,系统管理员可以根据企业的实际需要来进行选择。如在垃圾邮件比较多。每发现一封违规邮件就像收件人发送一封通知的邮件。当这个通知的邮件到达一定的数量时,这个通知本身就会变为垃圾邮件了。可见,这个通知消息还是要适可而止的。否则的话,系统管理员就会搬起石头砸自己的脚,吃力不讨好。