Sophos PureMessage 4.5

從閘道端防護垃圾郵件、郵件炸彈與病毒

為了對抗反垃圾郵件軟體，Spammer不斷更新垃圾郵件的格式，從之前的純文字、圖文到最近的HTML格式。有些反垃圾郵件產品可以擋得下純文字垃圾郵件，卻不一定能擋下HTML格式的垃圾郵件，因為這些信件使用更難纏的技倆，例如黑洞（black hole，在各字間加入空隔或符號，如i-T-h-o-m-e）、表格、隱型墨水（字體與底色相同）或重新編碼（文字變成數字代碼）等，以「Viagra」這個字為例，就能有56億種變化。

為了對抗這些技倆，Sophos每天收集25萬封垃圾郵件，並分析這些信件的特徵，研發出最正確的反垃圾郵件演算法，讓產品能更有效的過濾垃圾郵件。多一分彈性，少一分風險

Sophos併購Active State後，結合自有的防毒技術，推出反垃圾郵件軟體PureMessage 4.5，能在閘道端即過濾掉不當郵件，協助企業防護病毒、垃圾郵件及郵件炸彈等威脅。

PureMessage包含AS反垃圾郵件過濾套件、AV防毒過濾套件、EP延伸政策過濾套件、管理介面、個人化管理介面及隔離所等元件。在一般的狀況下，郵件會經過掃毒、白名單比對、黑名單比對、垃圾郵件可能性及附件檔過濾等關卡。

不過，PureMessage比其他產品更彈性，管理者能夠自由調整系統運作的順序，例如當蠕蟲剛開始散播時，適合先掃毒或判斷附件檔（病毒信夾帶ZIP或PIF檔），如果是遭到DoS或DHA（Directory Harvest Attacks）等攻擊，則可先比對黑名單，然後執行反垃圾郵件和掃毒。

既然Sophos是防毒廠商，防毒自然是PureMessage的重要功能，系統會自動掃描所有郵件是否含有病毒，正常的郵件會被送到郵件伺服器，中毒的郵件則會被清除（附件）、刪除或隔離，讓惡意程式在進入閘道前即被阻絕，無法在內部網路蔓延，尤其是在病毒信泛濫的現在，這是非常實用的功能。識破垃圾蟲技倆，提出識別率、降低誤判率

Sophos每天會收集25萬封垃圾郵件，分析這些信件的特徵，然後釋出這些過濾規則，企業可自行設定PureMessage的更新頻率，系統預設一天更新3次規則。

在PureMessage的訊息分解及分析過程中，有PureView、PureTrace及PureDetect等三項關鍵技術，其中PureView負責內容掃描、PureTrace用來追蹤來源，PureDetect則是分析郵件訊息。當一封電子郵件被掃描後，PureView會將這封郵件分解成多個格式，並識別來源IP和目的地（郵件信箱），然後由PureTrace追蹤寄件者來源與收件者，最後再由PureDetect依據這些訊息的結構、特徵及內容來判斷垃圾郵件可能性。

PureDetect包含Obfuscation Sensor（模糊偵測器）、Offensive Content Sensor及貝氏（Bayesian）演算法等多種偵測技術，能夠依據Sophos之前所收集到垃圾郵件，找出含相同特徵的垃圾郵件。Obfuscation Sensor能夠找出Spammer企圖隱藏的訊息（黑洞、重新編碼）；Offensive Content Sensor負責偵測色情或敏感內容；貝氏演算法能夠自動學習郵件特徵。

經過PureDetect計算之後，管理者可以依據垃圾郵件可能性，決定訊息的處理方式（傳送、隔離、刪除）。系統預設可能性介於90~100%則會刪除這封垃圾郵件、50~90%則會隔離該訊息、40~50%則在主旨註明垃圾郵件分數再傳送給收件者、20~40%則會在標頭（x-spam）加入垃圾郵件分數再傳送給收件者、0~20%就會正常傳送該訊息。彈性化架構， 支援Unix/Linux平臺

大多數的軟體都支援Windows平臺，但Sophos的產品卻是例外，PureMessage支援大多數的Unix/Linux平臺，包括Red Hat、Debian、Sun Solaris、HP-UX、FreeBSD 及AIX等作業系統，優點是成本低、穩定性高，缺點是技術門檻高，不過，由於產品定位是1000人以上的企業，相信這些企業都有精通這些系統的MIS人員。

在管理工具方面，PureMessage具備Web管理介面，提供系統狀況監控、安全政策管理、自動更新、隔離訊息管理及伺服器作業狀況等功能，方便管理者進行設定與調整。

PureMessage的政策設定類似防火牆的政策，是採用條列式呈現，運作順序一樣是由上往下。政策的設定也很簡單，只要選取所要的內容，再填入數據即可，而且只要是你能想到的功能，幾乎沒有做不到的。力霸資訊專案經理彭國達以力霸所使用的PureMessage為例，只使用系統預設的過濾政策，就有8成以上的攔截率。另外，管理者只要有基本的HTML概念，能夠編輯網頁的原始碼，就可以彈性調整運作順序。

系統預設的過濾規則有62頁，大約是1200多條，比較特別的是，其中有不少規則的分數是0。Sophos表示，這些規則之前都曾經有分數，但是隨著Spammer不斷改變技倆，PureMessage也持續調整規則的分數，以維持高攔截率，但顧慮到某些企業的特殊需求，才會保留這些規則。當然，0分的規則並不會進行比對，而且所有的規則都是使用二進位（Binary）編碼，而非腳本（script）型式，能夠加快比對速度。

在測試過程中，我們希望過濾郵件主旨為「iThome電腦報周刊」的電子郵件，但由於系統編碼的關係，儲存之後中文會變成一串代碼。廠商表示，在臺灣也會收到日、韓、英、法、簡體中文等編碼的信件，所有不論將設定調整成什麼編碼方式，畫面都會出現亂碼，基本上，PureMessage雖然提供關鍵字比對的方式，但是由於這樣的方式問題比較多，建議使用Sophos專利的PureView及PureTrace技術。

伺服器群組（Server Groups）也值得一提。對於擁有多臺PureMessage伺服器的企業而言，利用伺服器群組功能，能夠讓管理者在單一介面控管所有的機器，將設定資料同步，特別適合跨國企業。實用的使用者介面

在使用者方面，管理者可以針對整個群組或個別使用者，制定訊息使用、接收及垃圾郵件處理方式。比較好玩的是，使用者要登入使用者介面前，必須利用電子郵件信箱申請密碼，而且使用者無法變更密碼，如果遺忘密碼，就必須再重新申請一次，雖然這種作法對使用者比較麻煩，卻可降低管理者的負擔。系統也可以整合LDAP或AD。

對於大型企業（跨國）而言，由於文化及語言的差異，很難制定符合所有人需求的過濾政策。PureMessage為了滿足每個使用者的需求，除了個別的使用者Web介面，每個使用者也可以自訂專屬的黑白名單，系統更會定時將個人化隔離摘要（Personal Quarantine Digests）傳送到信箱中，讓使用者確認這些信件是否為垃圾郵件，以降低誤攔率。

另外，Sophos將垃圾郵件分成攻擊、詐騙、娛樂、金融、健康、網路及其他等7類，以金融業從業人員為例，他們就需要金融的相關訊息，這時便可由管理者適度開放該類信件。企業也可以自行客製化使用者介面。

PureMessage的高度彈性化最令我們印象深刻，能夠依不同的企業架構與實際狀況進行調整，而且幾乎所有的功能都能客製化完成，相信可以符合企業所需。文⊙陳世煌