作者:邵喻美 / 臺灣大學計算機及資訊網路中心資訊網路組
為了解決郵件過濾及放行的取捨兩難之處,郵件過濾機制可運用雲端防護概念-在郵件伺服器端執行寄信來源、廣告/垃圾信件、及病毒信件過濾,再定時寄信通知使用者被隔離的可疑信件。計資中心已於今年6月採專業郵件安全硬體設備建置全校郵件過濾機制,@ntu.edu.tw 郵件的使用者皆受此經過數道防線過濾機制保護,並可收到垃圾信件隔離通知信,以確保電子郵件的安全。
電子郵件已經從數十年前學術菁英份子交換研究心得的管道,逐漸成為男女老少工作、學習、社交、及娛樂的必備個人溝通方式,而且一人擁有多個電子郵件信箱已不稀奇。隨著網際網路的普及發展,電子郵件也逐漸成為廣告推銷最便宜且方便的手法,不必雇用人力派發傳單,也不必花費郵資寄送文宣,只要透過網路就可以幾乎不耗成本地大量寄出廣告信件。連網路上都有人專門販賣大量電子郵件地址清單供人寄廣告電子郵件呢!更糟的是,連騙徒也看上這個新興管道,利用銀行等企業運用電子郵件連絡客戶做為遮掩手法,廣發名為通知信函,實為詐騙個人帳號密碼的釣魚信件。許多人因此而被盜走帳號密碼,損失的可能是金錢或機密的個人資料。
除了垃圾信件及詐騙信件之外,病毒郵件則是另一種對個人電腦造成傷害的惡意信件。從早期著名的梅莉莎及iloveyou等病毒郵件,到內含木馬程式的惡意郵件,造成的後果包含個人電腦被當跳板大量發送信件給連絡人清單,個人電腦系統毀損資料遺失,或個人機密資料被盜。這些影響輕則個人「防毒觀念」名譽受損,重則工作倚賴的電腦無法運作,或甚至造成網路癱瘓。
郵件防護機制無論對於個人或組織,都是非常重要的基本措施。從個人電腦端安裝防毒程式,到郵件系統建置Anti-SPAM及Anti-Virus機制等,都是常見的作法。但是,個人電腦端的防毒程式難以防患採取心理戰的社交工程類型釣魚信件,郵件系統的過濾機制則難在尺度的拿捏,不是過濾太嚴,誤檔信件,就是放掉問題信件讓使用者誤開惡意郵件。該如何不讓惡意郵件進入使用者個人信箱,又能避免誤刪個人重要信件呢?
為了解決郵件過濾及放行的取捨兩難之處,郵件過濾機制可運用雲端防護概念,除了在郵件伺服器端執行寄信來源、廣告/垃圾信件、及病毒信件過濾,可疑信件甚至可以先集中隔離於過濾設備上,再定時寄信通知使用者有哪些可疑信件被隔離,再決定予以忽略或取回信件。如此不僅系統端可以放心過濾郵件,使用者也可以自行遠端判斷是否取回信件,不必擔心惡意信件進入自己郵件信箱而不小心打開。
此過濾及隔離機制更可進一步延伸至其他郵件伺服器,例如校內某系所擁有自行維護的郵件伺服器,可能由於經費及人力因素,無法自行建置有效的郵件過濾機制,然而使用該郵件伺服器的信箱又飽受廣告信件困擾。上述郵件過濾及隔離機制即可扮演一個集中式的校園郵件防護雲,需要一有效郵件保護機制的信件皆可先導入此集中式郵件過濾機制,先進行第一道防禦機制,將疑似廣告/垃圾/病毒信件移至隔離區,不讓擾人或惡意信件長驅直入個人郵件信箱。
讓我們以下圖說明此集中式郵件防護雲機制。以臺大校園為例,計資中心採專業郵件安全硬體設備建置全校郵件過濾機制,已於今年六月上線運作,全校收取 @ntu.edu.tw 郵件的使用者皆受此過濾機制保護,並可能收到垃圾信件隔離通知信。郵件進行的流程如圖中藍色箭頭線條所示,信件從網際網路寄至臺大郵件伺服器前,會經過數道防線:
- 首先經過郵件安全設備執行第一關Reputation-based Filtering,也就是根據寄件來源的「寄信名聲」可靠性判斷是否收下信件。
- 若通過此過濾防線,接下來便進行Anti-SPAM過濾。在判別出可疑信件後,可採取不同的策略,例如直接刪除可疑郵件、將郵件放入隔離區、仍舊將信件傳到使用者信箱(可設定在主旨加上提醒文字)等方法。將郵件放入隔離區的優點是,一方面危險信件不會直接進入使用者信箱,但使用者仍可知道哪些信件被隔離,可自行選擇是否釋出。
- 接下來是Anti-Virus機制,信件會經過病毒掃瞄,此過程也可採取數種措施,例如嘗試修復信件有毒內容、傳送修復後信件附件、移除有毒附件後傳送信件本文,可疑病毒信件放入隔離區,以及直接刪除病毒信件等。
通過以上幾道信件過濾防線的信件便送至負責的郵件伺服器,再放入使用者信箱讓使用者讀取。使用者可能在信箱中收到過濾系統寄發的「垃圾信件隔離通知信」,讓使用者先瀏覽被隔離的信件表列,但不會下載信件內容。若的確都是不需要的郵件,便無須理會;若有信件遭到誤判,便可直接選擇將信件取回信箱,不至於遺漏信件。
圖中的綠色箭頭線條描繪的是以此郵件過濾機制做為其他郵件伺服器的前端防護機制。只要將系所郵件伺服器的DNS MX記錄改為集中式郵件過濾設備,所有寄給該系所的郵件皆先進入過濾設備,經過相同(或自訂)的幾道過濾機制後,可疑信件進入隔離區,安全信件向後傳給系所郵件伺服器。該系所郵件使用者也可接到垃圾信隔離通知信,獲得相同的郵件安全保護機制。
以上一切信件的過濾及判斷都在伺服器端執行,無論是位於計資中心的郵件伺服器,或系所自有的郵件伺服器,皆可由位於計資中心機房的郵件安全設備提供過濾防線,為整個校園郵件系統形成一朵安全的郵件防護雲!