[推荐七个反垃圾邮件解决方案] 邮件通讯录解决方案

　　在此次征集的反垃圾邮件解决方案中，经过组织专家遴选，《计算机世界》方案评析实验室推荐7个反垃圾邮件解决方案。本报在此摘登其内容概要，有兴趣的读者可登录计世网（ccw.com.cn）查询方案全文。
　　
　　SurfControl: 强劲的反垃圾邮件引擎
　　
　　RiskFilter邮件安全信息网关建立在一个优化的Linux操作系统上，垃圾邮件过滤模块使用了启发式过滤、数字指纹技术、语义分析和URL黑名单等多种技术。
　　
　　设计思路
　　
　　RiskFilter是将安全、可扩展的硬件平台和高效、稳定的应用软件结合在一起的电子邮件安全硬件平台。
　　
　　1. SurfControl OS
　　SurfControl OS是SurfControl开发应用于RiskFilter邮件安全信息网关的、基于Linux的安全操作系统，包含了优化、加固的Linux内核和简单易用的CGI管理界面等增强特性。
　　
　　2. RiskFilter架构
　　RiskFilter直接将电子邮件写入裸磁盘，完全绕过操作系统的文件系统，RiskFilter使用数据库管理磁盘存储和分配可用空间。
　　
　　● 接收模块－Receive Function
　　
　　本模块负责管理RiskFilter接收的SMTP连接，并根据黑名单、RBL、目录攻击设置进行过滤。通过过滤的电子邮件将根据从数据库查询到的接收队列RQ空间内的空闲位置直接写入磁盘，并通知规则模块 Rules Function对这封电子邮件进行下一步处理，传递参数为电子邮件在RQ内的位置指针。
　　
　　● 接收队列－Receive Queue（RQ）
　　
　　RiskFilter将所有通过接收模块过滤的电子邮件写入接收队列RQ。
　　
　　● 发送队列 － Delivery Queue （DQ）
　　
　　RiskFilter将延时发送的邮件保存在DQ中。
　　
　　● 规则模块－Rules Function
　　
　　规则模块根据过滤规则对邮件进行分析处理。如果一封邮件触发了某一条规则，规则模块将执行以下动作中的一种: 投递、删除、隔离。
　　
　　● 发送模块 － Send Function
　　
　　发送模块根据邮件路由设置试图将邮件传递到下一跳，如果第一次传递失败，发送模块将查询数据库寻找发送队列DQ空间中的空闲位置，从数据库当中删除RQ指针，增加DQ指针，并将该邮件写入DQ，等待重新发送。发送模块使用延时重发机制确保邮件的发送。
　　发送模块支持TLS对MTA之间的SMTP传输进行加密。TLS使用基于证书的身份认证、对称密钥加密（共享密钥加密）和HMAC防篡改编码，保证了邮件在传输过程中不会错传、泄密和篡改。RiskFilter可以将证书以cer格式导入和导出。
　　
　　● 管理服务 － Administrative Service
　　
　　管理服务提供了对Web管理的审计功能。
　　
　　● 个人垃圾邮件管理 － End User Spam Management （EUSM）
　　
　　个人垃圾邮件管理允许用户自行查看和处理ASA隔离的垃圾邮件，EUSM通过LDAP验证个人用户的身份信息。
　　
　　● 个人用户控制 － End-User Control
　　
　　该功能允许/禁止个人用户创建使用个人黑白名单。
　　
　　● mySQL数据库
　　
　　mySQL数据库保存配置信息、规则、邮件ID、RQ/DQ指针和隔离队列指针，数据库不保存邮件。
　　
　　● LDAP
　　
　　LDAP是一种使用开放网络协议访问信息服务的开放式标准协议，LDAP使用树状层次结构保存信息。RiskFilter查询LDAP检查收件人地址的有效性，并为EUSM验证个人用户身份。
　　
　　● 反垃圾邮件引擎 － Anti Spam Agent（ASA）
　　
　　RiskFilter反垃圾邮件引擎ASA集成了四种反垃圾邮件技术: 启发式分析、数字指纹、语义分析和互联网风险地址，由SurfControl全球的内容安全专家365×7×24小时不间断维护更新ASA数据库，提供准确率高于99.2%、误判率低于0.2%的垃圾邮件过滤功能。
　　
　　● 反病毒引擎 － Anti Virus Agent （AVA）
　　
　　RiskFilter 5.0内嵌McAfee网关级病毒扫描引擎，保护企业不受病毒及病毒衍生邮件的影响。AVA识别病毒高达16万种，自动的反病毒引擎和病毒定义更新提供了对病毒爆发的即时保护。
　　
　　● 内容过滤引擎 － Content Rules
　　
　　RiskFilter提供五种内容过滤引擎: 常规内容过滤器、高级内容过滤器、附件过滤器、多级过滤器和字典过滤器，对邮件头、主题、正文和附件中出现的关键字及邮件属性进行检查，然后进行放行、隔离、通知和删除等操作。
　　RiskFilter支持对多种附件文件格式的内容检查，即使在多层压缩的文件当中，RiskFilter也可以精确扫描匹配关键字，保护企业机密信息; RiskFilter支持关键字、布尔表达式和正则表达式，并提供支持5种语言的邮件字典; RiskFilter还可识别加密邮件（不能解密检查邮件内容）并进行隔离/删除/通知/放行等操作，避免机密信息通过邮件系统泄露。
　　
　　● 免责声明引擎－Disclaimer
　　
　　除了技术方面的安全保障之外，RiskFilter还提供法律方面的保护。自动分析判断邮件格式和编码，在不影响邮件格式的前提下，在经过网关处理的邮件头部或尾部添加企业自定义的法律责任免除声明。
　　
　　方案实现
　　
　　1．单机部署
　　单机部署方式是缺省的出厂配置，它将所有的邮件、日志和配置信息保存在一台RiskFilter设备上。在这种部署方式下，RiskFilter检查所有入埠和出埠的SMTP流量。
　　
　　2．集群部署
　　集群部署使用两台或多台RiskFilter创建集群。在这种配置中，一台RiskFilter作为Master，其余的作为Slave。
　　Master负责管理集群配置、推送规则到Slave、管理Slave配置以及管理所有日志、隔离队列和归档邮件; Slave附属于Master，处理SMTP流量并发送日志、隔离队列和归档邮件到Master，同时随时准备升级为Master。
　　在集群配置中，Slave承担了主要的过滤任务和RQ/DQ的管理，并将日志、隔离队列和归档邮件发送到Master，这大大提高了Slave的处理效率。
　　Master管理mySQL数据库中的集群配置信息，并保存从每一台Slave发来的流量/规则日志，所有的管理任务都由Master完成（Slave上的管理服务自动停用），所有规则都从Master下发到Slave。
　　
　　3．冗余部署
　　冗余部署使用两台RiskFilter（主-备），配置完全相同。当主机失效时，备机自动接替主机的工作。
　　
　　CipherTrust: 多路反垃圾，实时防病毒
　　
　　IronMail集成了邮件系统入侵防御、反垃圾邮件、防病毒以及可控邮件内外发策略等与邮件系统安全相关功能。
　　
　　用户需求分析
　　
　　某企业为国内大型企业，共有员工十多万名，遍布全国各地，在多个国家设有驻外机构和办事处，公司大部分的沟通和海外的联系均是以Email的方式，Email是公司内部的重要通信手段。
　　企业的电子邮件用户按访问方式主要分为两类，一类是总部内部网用户，直接通过内部网访问邮件服务器，另一类是总部以外的各分公司、分支机构用户、出差员工，需要连接到公司的VPN，通过VPN访问内部的邮件服务器。邮件服务器由防火墙做端口映射到公网。对邮件安全的具体需求是: 垃圾邮件过滤、病毒邮件过滤、邮件系统防攻击保护、邮件加密、Webmail 安全传输、内部信息防泄密、自动和精细的报表、灵活的策略控制以及良好的扩展性。
　　
　　解决方案
　　
　　1． 产品介绍
　　
　　CipherTrust IronMail集成了邮件系统入侵防御、防垃圾邮件、防病毒、防蠕虫、可控邮件内外发策略、可控邮件外发内容、电子邮件信息加密等所有与邮件系统安全相关的功能。
　　
　　（1）反垃圾邮件
　　IronMail结合了许多种反垃圾邮件技术，确保最有效最准确地侦测非法连接，垃圾邮件。其主要分为6类: 连接分析、词法分析、协议分析、认证协议、流量模式分析和自动学习。其关键技术有:
　　● 垃圾邮件工具箱（Spam Profiler)的相关引擎集合了多种垃圾邮件侦测技术的结果，为每一条信息创建独一无二的垃圾邮件profile。
　　● 用户隔离（User Quarantine）使企业最终用户能够审查他们的个人隔离队列及创建白名单，从而对每一条垃圾邮件信息做出精确反馈。
　　● 遗传优化（Genetic Optimization）自动为每一个垃圾邮件profile设置准确度与有效度，降低运行维护与协调的需要。
　　● CipherTrust的威胁响应更新(Threat Response Updates)可自动进行实时更新。
　　
　　（2）反病毒邮件
　　IronMail支持传统意义的反病毒引擎方式来查杀病毒邮件，并且支持提供多个引擎，提供多重的病毒扫描，用户可以自定义病毒扫描层数和引擎顺序。
　　IronMail提供了全新的零时差防邮件病毒功能，实时侦测防护未知病毒通过邮件对客户网络、邮件系统的恶意攻击，危害其信息安全。极大减少了对于新的病毒变种或突发疫情的响应时间。
　　此外，IronMail还具有电子邮件防火墙和入侵防御功能，能全方位地保护电子邮件系统的安全; 自动TLS、SSL加密功能可根据发送方、接收方或内容等要素来保护邮件; 系统还支持多种标准协议的安全代理，保障最终用户与系统进行数据通信的安全传输; 为了防止公司重要资料和机密信息的泄露，IronMail提供了出站审核机制，出站的策略审核与入站审核完全独立，对于特定敏感的邮件可以有效地控制出站，并且支持多种灵活的策略; 实时邮件系统安全报表生成功能支持针对个人邮件账户、用户组、部分、子域、全局域和系统级的报表生成; IronMail策略管理器根据客户需要可以提供基于个人电子邮件账户、电子邮件用户组、部门、子域和全局域创建管理策略。
　　
　　
　　2． 实施方案
　　
　　IronMail可以一体化解决用户电子邮件相关的安全需求。将IronMail网关集群直接替换原有邮件服务器集群域名，原有邮件服务器集群被放在IronMail网关集群之后，由IronMail网关集群对邮件系统实施完全的保护。
　　邮件服务器集群对最终用户并不可见，最终用户发送或接收邮件，无论是通过内部网络还是通过VPN连接，均将所有的请求发送到IronMail网关集群，如果是外发邮件请求，IronMail验证用户身份并确认符合外发邮件策略后，直接投递到目的服务器，如果是接收邮件请求，IronMail通过POP3、IMAP和HTTPS代理，实现最终用户对邮件服务器集群的邮件读取访问，确保从IronMail到最终用户是采用加密数据通信传输。IronMail网关集群采用负载均衡机制，任何一台网关宕机均不会影响到用户正常的邮件收发和使用。
　　
　　硕琦: 垃圾邮件行为模式分析
　　
　　系统根据SMTP的动态信息，判断邮件行为是否有异常，同时利用SMTP信息特性实时追踪邮件来源。
　　
　　邮件卫士
　　
　　硕琦科技“SpamTrap卫士邮”垃圾邮件防御服务器采用“垃圾邮件行为模式解析”技术，SpamTrap在与远程邮件服务器建立 SMTP 联机做邮件传递时便已开始进行邮件分析。根据 SMTP 的动态信息，判断邮件行为是否有异常（例如伪造寄件者来源，相关信息不一致等等）; 同时利用 SMTP 信息特性实时追踪邮件来源，再搭配 DNS正反解的分析等，验证寄件者的真实身份，并预设上百种“垃圾邮件行为类型Pattern”，无需依赖关键词过滤与各类演算法，避免了因主观判断垃圾邮件内容所引发的误判，更加精确，阻挡率为95%以上。
　　
　　实时通信协议的行为分析
　　
　　SpamTrap 在 MTA 执行阶段，实时监控 SMTP 信息，进行回溯追踪; 在未收下电子邮件之前，即可判定是否为垃圾邮件。SpamTrap 将寄件者的邮件设定、发送方式与传输路径视为一邮件通信行为从事解析，不拆开邮件本文与附文件，与系统预设 Pattern 进行比对，决定性判断邮件。
　　实时判断: SpamTrap 可立即判别将垃圾邮件摒除阻挡在企业门外，有效阻绝DoS攻击、字典攻击，亦可同时阻挡病毒邮件。
　　通信协议: 回溯追查真实身份，不容伪造，判断依据为“通信协议”，属国际公认 IRTF/IETF/RFC 判断标准，客观认定，大幅降低误判率。
　　行为分析: 采用数学模型分析、非关键词扫瞄比对，不需时常更新比对数据库，无语言限制，不分国籍语种都适用。
　　
　　成功案例
　　
　　佳兆业地产(深圳)有限公司在构建防御垃圾邮件系统时，认为产品需具高度弹性、应变能力与可用性，以适应企业现有的邮件系统。而对佳兆业而言，垃圾邮件防堵最重要的是防御成效及彻底解决，在系统使用上需简易管理、功能完整稳定。佳兆业在一周的测试时间内体验硕琦“SpamTrap卫士邮”防御成效后，阻挡率在99%以上，误判率在1%以下。
　　
　　架构范例
　　
　　网关式SpamTrap 可弹性支持多种企业 mail server，设置于 mail server 前端，10分钟即可完成建置设定，进行垃圾邮件通信行为阻挡。
　　
　　产品功能特点:
　　
　　1. 反垃圾邮件防护多模式选择，提供信息人员最佳导入 Anti-Spam 建置目标；
　　2. 电子邮件系统防毒系统，达成多层次 Anti-Virus 建置方案；
　　3. 可视化控管接口，管理操作简便；
　　4. 国际主流技术，使用行为模式解析技术,不使用关键词库内容比对模式，
　　具有很好的扩充性: 可搭配 IP Failover 备援机制，双主机 HA (High Availability) 实时备援。
　　SpamTrap能对系统状况进行实时的健康诊断，提供 “垃圾邮件比例”、“网络联机状态”、“队列情况” 与 “负载情况” 等 11 项系统状态，管理者在登入系统后可立即掌握系统状态; SpamTrap可自设联机限制参数，避免大量或不正常邮件瘫痪收信主机，也可针对可疑攻击目标自订 DoS 防御时效，并寄送DoS 攻击通知及时掌握最新情况; 可对重要客户、往来厂商快速放行，并且可以充分掌握邮件阻挡、放行原因，系统完整记录 “有效邮件”、“垃圾邮件”、“正常邮件”、“拒绝邮件”、“失败邮件”与“系统邮件”的收发情况; SpamTrap还可提供个人垃圾邮件报告/隔离中心权限机制，清楚建立权限控管，个人使用者可依个人需要将寄件者加入黑、白名单，加值防御成效; 并强化管理机制，利用群组设定机制进行部门类别管理。
　　
　　敏讯科技: 四层防护模型
　　
　　EQManager邮件安全网关，是一套将反恶意攻击、反垃圾邮件、病毒过滤、以及敏感信息智能过滤等功能进行无缝整合的一体化的电子邮件安全防护解决方案。
　　
　　方案实现
　　
　　1． EQManager―邮件安全应用解决方案
　　EQManager邮件安全网关，是一套将反恶意攻击、反垃圾邮件、病毒过滤，以及敏感信息智能过滤等功能进行无缝整合的一体化的电子邮件安全防护解决方案，可以充分实现对邮件系统更加全面有效的保护。EQManager邮件安全网关采用“行为模式识别”核心反垃圾邮件技术，行为模式识别模型包含了邮件发送过程中的各类行为要素，如，时间、频度、发送IP、协议声明特征、发送指纹等。配合SMTP-IPS邮件智能防攻击技术，就能够帮助管理员建立一套便于管理的、不断升级的邮件病毒和垃圾邮件监控防御体系。EQManager拥有丰富强大的功能，对电子邮件系统进行全面的安全防御。
　　
　　EQManager邮件安全网关在保障对垃圾邮件有效过滤的基础上，也丰富了对产品的管理功能。EQManager邮件网关管理系统提供多种工作模式供管理员选择，提供目视化的管理方式，并可以通过大量网关数据及图表将电子邮件系统的邮件投递流程透明化。目视化的管理以及智能化的自动防御体系，基本上做到了对电子邮件系统安全的免维护状态。
　　
　　2．EQManager邮件安全网关四层防护模型
　　EQManager邮件安全网关从逻辑上可以分为四个模块，分别是SMTP-IPS入侵保护、“行为模式识别”反垃圾邮件引擎、病毒过滤以及敏感邮件内容过滤模块。首层的SMTP-IPS入侵保护模块负责防御电子邮件攻击，并阻断达到攻击阀值的攻击IP，第二层“行为模式识别”反垃圾邮件引擎负责过滤垃圾邮件。该模块可以在邮件建立连接时快速识别是否为垃圾邮件。第三层是病毒过滤引擎，可以对已知病毒进行100%查杀。最后一层为敏感邮件内容过滤，支持新建规则，防止内部信息泄密。成熟、高效的四层防护模型形成了电子邮件系统的一道安全屏障。
　　
　　主要功能介绍
　　
　　EQManager邮件安全网关可以提供整体的电子邮件安全解决方案，具体功能列表如下:
　　
　　● 防恶意邮件攻击
　　EQManager能够和垃圾邮件“行为模式识别”库匹配联动，智能识别大量的病毒攻击、用户名单探测攻击、口令探测攻击、空邮件攻击、大邮件攻击、字典攻击、多线程攻击、DHA攻击、DoS攻击等各种恶意攻击行为，尤其出色的是，EQManager能够在管理员不在现场的情况下，自动阻断（AutoBlocking）攻击源IP，真正做到无人值守。
　　
　　● 反垃圾邮件
　　EQManager提供了电信级的反垃圾邮件功能，核心算法采用“行为模式识别”模型，不但建立有垃圾邮件的模式，同时也建立有正常邮件的模式。所以能很快区分正常邮件、可疑邮件和垃圾邮件，一封正常的邮件不需要像内容过滤型产品那样遍历所有的规则库才能被选出。
　　
　　● 病毒邮件的扫描
　　EQManager对所有进出网关的邮件进行双向病毒扫描，通过整合国际先进的杀毒引擎，来检测病毒，按照杀毒策略进行自动杀毒，并生成杀毒报告。
　　
　　● 敏感内容过滤
　　EQManager允许管理员设置各种敏感内容过滤规则，对进出网关的邮件信息以及附件进行智能过滤和监控，包括正文内容、标题、附件类型和大小、附件内容、收信人和发信人，监控公司机密信息不被泄漏，监控对邮件系统的滥用行为。
　　
　　● 邮件归档
　　针对个别用户突然性的PC系统崩溃或者Outlook崩溃，而导致大量邮件数据损失的情况，EQManager特别提供邮件自动归档功能，能够为用户自动在网关系统中对进出网关的邮件提供一份备档，以备灾难发生时，用户能重新找回久远以来的所有邮件数据。
　　
　　● 方便的目视化管理和细粒度的安全策略配置
　　EQManager提供了基于完全的Web管理界面，管理员在地点方便地进行系统配置，包括反垃圾邮件策略、防攻击策略、病毒处理策略、系统参数、升级策略、报告生成策略等。EQManager可以对每个用户、每个域设置完全个性化的反垃圾邮件和病毒处理策略，提供细粒度的邮件安全策略管理。
　　
　　● 系统实时监控
　　EQManager提供图形化的系统资源和处理效果实时监控功能，能够在Web界面上实时显示CPU利用率、网络流量、硬盘空间、SMTP连接的监控图，在系统运行异常时，还能够自动通过E-mail、SMS手机短信息等发出报警信息。
　　
　　● 日志统计报告和日志查询
　　EQManager提供非常详尽的图形化日志统计报告。系统每天对系统运行情况，以及反垃圾邮件、内容过滤和病毒过滤的情况进行统计，生成报表。
　　
　　金辰: 综合治理，全面防范垃圾邮件
　　
　　KILL邮件安全网关（KSG-M）从综合治理的角度科学防范垃圾邮件。
　　
　　设计思路
　　
　　垃圾邮件的形成不仅仅有直接的原因，还应考虑相关因素。因此一方面要通过综合治理的方式预防垃圾邮件，另一方面还要将反垃圾邮件上升到邮件安全防范的高度，全面保障邮件通信安全。
　　众多的邮件安全威胁都与垃圾邮件相关， 网络钓鱼（Phishing）通过互联网以电子方式诱骗用户，非法获取财务账户、密码等信息; 邮件假冒（Spoffing）通过技术手段伪造发件人地址，隐匿真实身份，骗取收件人信任; DHA攻击通过群发探测获取有效的电子邮件地址清单，其过程可形成DoS拒绝服务攻击。多种威胁互相交织，形成混合型的安全威胁。
　　预防垃圾邮件最有效的措施是邮件网关。邮件网关独立运行，基于邮件通信标准协议（SMTP、POP3等）对垃圾邮件进行识别分析和过滤处理，对用户邮件系统软硬件结构、网络结构、系统更换与升级没有任何影响，具有非常好的适应性。
　　
　　方案特点
　　
　　本方案的特点是，KSG-M不仅仅是单纯的反垃圾邮件网关，而是从综合预防角度提出了全面防范邮件安全风险的解决方案。一方面通过多种领先的邮件安全技术全面预防垃圾邮件; 另一方面根据垃圾邮件相关的病毒邮件、邮件欺诈、邮件攻击等邮件混合型威胁特点，对邮件进行综合治理，从而达到更好防御垃圾邮件的效果。
　　
　　方案实现
　　
　　冠群金辰KILL邮件安全网关（KSG-M）专门针对邮件面临的安全风险进行防范，可帮助企业级用户全面有效防御垃圾邮件、病毒邮件、邮件攻击与邮件欺诈，从综合治理的角度科学防范垃圾邮件。
　　KSG-M系统由三部分组成: KSG-M硬件设备、管理控制台、日志报表分析系统。
　　KSG-M用于过滤垃圾邮件、病毒邮件、欺诈邮件、邮件攻击等网络数据; 管理控制台用于管理员日常管理; 日志报表分析系统提供分类和综合的统计分析报告。
　　
　　1．工作原理
　　
　　KSG-M是一款独立工作的硬件产品，针对电子邮件系统的SMTP、POP3、WebMail进行过滤。
　　采用旁路方式部署时，首先设置DNS服务器中MX（收件）记录，作为完整MTA（邮件传递单元）功能的KSG-M，其MX优先级应高于邮件服务器。接收邮件时，KSG-M首先获取邮件进行识别处理，过滤垃圾邮件、病毒邮件、欺诈邮件等非法邮件，然后转发给邮件服务器进行正常传递。发送邮件时，通过DNS中设置Relay（发件）指向，首先通过KSG-M的过滤处理，然后将合法邮件通过邮件服务器进行正常发送。采用串联方式时，对途经KSG-M的所有邮件进行分析过滤。
　　KSG-M通过过滤引擎、传递引擎、管理系统进行处理。其中，过滤引擎通过流量预处理（例如，身份认证、Relay控制、流量整形、邮件IPS、黑白名单……）、邮件行为分析（例如，邮件结构检查分析、内容频度分析、邮件特征分析、DNS反查、贝叶斯算法……）、深度内容分析（例如，病毒特征识别、垃圾邮件内容识别、正则表达式、智能分析、邮件欺诈识别……）的过程，综合多种邮件安全技术进行关联分析处理，全面过滤非法邮件; 传递引擎可灵活实现正常传递（标记、复制、接受、声明）、修改传递（清除、剥离）、拒绝传递（丢弃、转发、弹回、隔离）; 管理系统用于系统配置管理、系统升级、监视异常状态、提供分析改进的分类报表等。
　　
　　
　　2．产品部署
　　对于企业级用户，KSG-M的直接保护对象是邮件服务器，间接保护目标包括邮件用户、网络资源、内部网络环境等。部署方式建议采用与DNS服务器旁路并联（路由）方式。
　　此外，对于不具备DNS服务器的用户，可采用简单串联方式，不仅可以过滤smtp、pop3邮件，还可以过滤WebMail邮件。
　　
　　赛门铁克: 安全可用性下的弹性基础架构
　　
　　多种不同的技术手段被有机结合，从邮件安全、可用性及弹性基础架构等不同角度保证了企业邮件系统的高效应用。
　　赛门铁克的电子邮件安全及可用性解决方案(ESA)通过减轻电子邮件基础架构所有层级的负担，显著降低了总拥有成本，其中包括降低存储成本，降低与扩展基础架构和性能最大化相关的运营成本。ESA可以在减少大量垃圾邮件、阻截病毒的同时，通过归档实现对旧有邮件的生命周期管理，用最小的成本存储重要邮件信息并保证极高的可用性。
　　赛门铁克的ESA方案，将解决企业电子邮件安全性和可用性问题分为了三个重要的环节:
　　
　　第一步: 电子邮件安全
　　
　　企业需要在邮件系统正常运转的基础上，随时保证往来的邮件受到安全保护，这其中包括反垃圾邮件、反病毒、内容过滤等多项工作。电子邮件安全保护可以分为三个因素: 减少数量，边界防护和群件防护。
　　
　　● 减少数量:
　　Symantec Mail Security 8100 系列设备通过评估发件人特征，在TCP/IP 或网络层采取操作，并在入站 SMTP 流中运用通信形式来阻拦垃圾邮件。它实时对 SMTP 数据包进行取样分析，确定发件人特征，然后运用通信形式来阻拦不受欢迎的发件人不断向受保护的企业网络发来的不受欢迎内容。
　　与普通的网关反垃圾邮件扫描程序不同，它不对单个邮件进行操作，而是对累计历史和邮件路径的信誉进行评估。它利用大量的统计数据来确定发件人特征，一经确定，就将通信形式应用到发件人连接。这就意味着给垃圾邮件发送者分配一个极慢的通往受保护环境的连接，使向该环境发送电子邮件变得非常不合算。
　　在这种情况下，垃圾邮件发送者不但没能占用合法环境的系统资源和带宽，他的资源反而由于试图向合法环境发送垃圾邮件而被占用，而用户消耗的资源成本却微乎其微。最终结果是表面上用户的邮件服务器将要瘫痪，垃圾邮件发送者将不再把这个领域作为将来发送垃圾邮件的目标，因此垃圾邮件的数量将大大减少。
　　
　　● 边界防护:
　　
　　该方案包含了几种重要的形态架构――软件、设备和托管解决方案和几种重要的操作系统（Windows、Solaris、Linux），可供不同企业根据自身需求进行选择。
　　通过该道防线的防护，电子邮件携带的有害内容不会到达最终用户的桌面，不会传播感染或破坏网络。Symantec Brightmail AntiSpam 可以捕获 95％ 以上的垃圾邮件，具有高达 99.9999% 的准确率。很明显，这样的高效率将最大限度地减轻对下游邮件存储器的压力，从而成为加强网络安全和提高电子邮件可用性的最关键层之一。
　　
　　● 群件环境防护
　　方案中的第三层能够清除不受欢迎的、内部发送的内容，以及早期带有群发邮件蠕虫的邮件。特别适合于早期实时识别电子邮件策略违规。随着最后一步扫描并净化邮件存储器的完成，归档系统将数值加入到电子邮件安全性和可用性数链中。
　　Symantec Mail Security for Microsoft Exchange 和Symantec MailSecurity for Domino可以确保内部邮件通信中不存在恶意或不适宜内容。
　　
　　第二步: 电子邮件可用
　　
　　企业需要按照内部业务策略及外部法规要求，定时自动化保存和管理电子邮件信息，这将涉及到归档、索引、搜索、恢复等一系列信息存储与邮件生命周期管理的问题。赛门铁克Enterprise Vault能够自动无缝归档、索引、搜索和恢复信息，并保持Microsoft Exchange 服务器以最佳效率运行，使用户能够轻松访问他们的归档数据。
　　
　　第三步: 建立弹性基础架构
　　
　　与保持电子邮件信息安全性和可用性同等重要的是，需要在弹性基础上建立一个电子邮件基础架构，即一个能够满足不断增长的需求、抵御故障并且能够在故障发生后迅速恢复的强健架构。
　　从技术要素来看，这种强健的弹性架构需要从有效的备份中快速恢复，通过集群减少停机时间、通过复制和远程集群实现灾难恢复、管理存储并实现资源预置等。VERITAS NetBackup 与Storage Foundation HA for Windows（带VERITAS Cluster Server 和Replication 选项）的结合，向依赖Microsoft Exchange 的企业提供了建立弹性电子邮件基础的单一解决方案。
　　
　　天融信: 高效应对四类攻击行为
　　
　　天融信防垃圾邮件过滤网关对垃圾邮件通信的四种行为给予了有针对性的解决方法。
　　
　　行为识别技术保证高效的垃圾防护
　　
　　目前，市场上已有的防垃圾邮件品牌很多，国内外厂商都有，产品所采用的技术也有所不同，主要分为以下三种:
　　第一代技术: 通过IP过滤、关键字过滤、邮件（附件）大小控制、SMTP连接时间频率控制来进行垃圾邮件的区分;
　　第二代技术: 通过基于贝叶斯统计算法的智能内容过滤，RBL过滤来进行垃圾邮件的区分;
　　第三代技术: 通过基于对垃圾邮件发送行为的研究和统计而发展出来的行为识别技术来进行垃圾邮件的区分。
　　第一代和第二代技术在经过了一段时间的应用后，大部分的使用者都发现了它们致命的缺陷: 误报率高，处理性能很低，语言依赖性强，非常不适合在网关处使用。
　　针对上述问题，天融信公司推出基于第三代行为识别技术的防垃圾邮件网关NGFG-AS。该方案建立了垃圾邮件发送的行为识别模型。能够在MTA通信阶段就判断出所接收邮件是否为垃圾邮件，而无须接受全部的邮件内容并作内容比对。这项技术大大提高了邮件过滤速度，减少了网络延迟，同时还避免了内容过滤技术不可避免的高误报率问题，使得垃圾邮件过滤极其高效和准确。
　　
　　如何利用行为识别技术实现垃圾防御
　　
　　现在的垃圾邮件通信行为分为以下四种:
　　邮件滥发行为: 垃圾邮件发送者登录邮件服务器进行联机查询或投递邮件，尝试各种方式投递邮件，发件主机异常变动等行为。
　　邮件非法行为: 垃圾邮件发送者借用各地的多个开启了 Open Relay 邮件转发功能的邮件服务器来发送邮件的行为。
　　邮件匿名行为: 发件人、收件人、发件主机或邮件传输信息被刻意隐匿，使得无法追溯其来源的行为。
　　邮件伪造行为: 发件人、收件人、发件主机或邮件传输信息被刻意伪造、经查证不属实的行为。
　　由垃圾邮件的通信行为和正常邮件的通信行为对比得知，能否正确地识别垃圾邮件的关键就在于能否正确地识别邮件的关键传输值。天融信公司采用邮件来源回溯技术，能够深入数层追踪到邮件的原始传输信息，对于伪造发信人和发信服务器、不断变化IP地址发信、不断变化的发信人地址、以字典攻击的方式群发，发信的频度异常、发信的时间规律、虚假的SMTP路由信息等多种可能的垃圾邮件发送行为进行深入探测，以精确区分每一封垃圾邮件。
　　
　　天融信防垃圾邮件过滤网关针对以上四种垃圾邮件发送行为具有高效防护作用。
　　
　　防范邮件滥发行为
　　
　　NFGFG-AS通过深入追踪邮件原始发送数据，判断其是否通过登录邮件服务器以直接方式进行投递邮件，或者通过垃圾邮件发送工具进行邮件的发送等方面对垃圾邮件做出判断。
　　
　　防范邮件非法行为
　　
　　NGFG-AS通过深入追踪邮件原始发送数据，检查其原始发送地址，如果发现其发送地址不固定，改变频率高，则说明它在利用多个开启OPEN RELAY功能的邮件服务器进行转发，符合常见垃圾邮件发送行为，从而对垃圾邮件做出判断。
　　
　　防范邮件匿名行为
　　
　　NGFG-AS通过深入追踪邮件原始发送数据，一旦发现邮件发件人不申明真实邮件传输值，而以空白信息投递邮件，或是发件人的邮件传输值具有异常变化，就会将其判断为具有匿名行为的垃圾邮件。
　　
　　防范邮件伪造行为
　　
　　NGFG-AS通过深入追踪邮件原始发送数据，如果发现发件人申明为本机域名，但来源 IP不属于内部地址网段; 或是发件人申明为ISP主机，但邮件传输值不隶属于该ISP; 或是发件人伪造成无反向域名记录的主机，发件人以答复邮件格式伪造电子邮件，发件人的邮件传输值多处变化、信息不一等，就会将其判断为具有伪造行为的垃圾邮件。
　　
　　网络部署方案
　　
　　将网络卫士防垃圾邮件网关以旁路的方式接入到企业网络，通过添加DNS上的MX纪录或设置端口NAT，使邮件先经过防垃圾邮件网关过滤之后再发到企业的邮件服务器。这样做可以提高企业网络的健壮性，既保证了能够正常过滤垃圾邮件，同时，若防垃圾邮件网关发生故障，也不至于影响企业网络的正常网络通信。