5款郵件稽核設備實測分析

對於企業而言，目前最常使用的對外、對內聯絡方式為電子郵件。但電子郵件除了在協同合作上非常有幫助外，但也隱藏著許多潛在危機，例如資料外洩，員工可能一不小心外洩客戶個資，或者有心人士將企業機密流露出去，所以企業需要透過郵件稽核設備阻擋這些問題信件。

而所謂的郵件稽核設備，其實是將稽核功能額外獨立成一臺設備，替不具備稽核功能的郵件伺服器稽核信件。但目前也有所謂的多功能郵件伺服器，設備本身除了能夠收發信件外，也具備防毒、防垃圾信、郵件稽核等功能。

基本上，所謂的郵件稽核共分成前稽核與後稽核2種作法。

就前稽核的產品而言，管理者大多能夠在上面設定稽核條件，來比對郵件的寄／收件人、郵件內容、附件內容等資訊，是否符合設定值。若是符合，則能夠設定相對應的處理動作，像是放行但保留寄信記錄，以及刪除、審核等。

而後稽核功能，主要為郵件備份和查詢信件。設備能夠將進出的所有信件備份起來，而管理者能夠在網頁後臺設定條件調閱信件。而有的甚至能夠設定稽核條件，只要符合條件的信件一有進出的行為，則會寄送通知信告知管理者。

郵件前稽核目的在於阻擋機密資料外洩

目前企業在實行郵件稽核方面，在功能設定上大多都以後稽核為主。這是因為，導入後稽核功能可以將信件備份起來，一來多一分保障，二來能夠做為證據使用。並且，導入後稽核幾乎不會影響到既有網路環境的架構與使用者。

但郵件前稽核的部分，則較少企業去實行。這是因為導入前稽核功能時，除了多少需要改變環境設定外，更大的原因則是──IT人員並無主導權。

因為導入時，對於稽核條件的比對內容、套用群組、稽核人員等設置，並不是單憑IT部門就能夠決定的事情，而是需要各部門主管一起討論。並且，稽核條件設置後，信件處理流程將有所變化，會大幅度影響到企業員工的日常工作。所以，大部分企業的IT人員，若非上層要求導入前稽核，通常都會選擇使用郵件備份做為後稽核。

但是，使用後稽核功能在郵件稽核的實施上，是比較被動的做法，因為它只能夠備份信件，並不能夠阻擋事情發生，企業只能在事發後，藉著郵件做為證據，並走法律途徑尋求賠償。

企業在保護機密資料的方式上，固然可以選擇使用DRM（Digital Rights Management，數位版權保護)、DLP（Data Loss Prevention，資料外洩防護）等方式來做。但是，企業內的員工最常使用的訊息傳遞工具，依舊是電子郵件，所以仍需要設法阻擋機密資料透過電子郵件流出。

再加上這幾年個資法議題的關係，前稽核功能則越顯重要，所以我們這次採購特輯的重點，主要放在郵件稽核設備上的前稽核功能。

實測5款郵件稽核設備的發現

此次受測產品的選擇上，我們以具備郵件前稽核機制的設備為主，且在前稽核方面，要求需具備阻擋郵件、掃描附件等功能。我們一共測試了碩琦、基點（Cellopoint）、桓基、網擎及中華數位共5家的郵件稽核設備。

這5臺設備皆具備郵件前稽核，也有防病毒、垃圾信郵件功能，而除了網擎以外，其餘4家則還提供了後稽核的功能。而在測試方面，我們是在iThome的環境中，讓設備整合Windows AD。同時，透過微軟Exchange Server來收發使用者郵件，來驗證前稽核功能。

各家皆提供個資稽核條件，差異在於設定介面的親合度

在前稽核功能方面，實際測試過後我們發現，每家的前稽核功能除了基本的寄／收件人、郵件標題、附件大小外，也都能夠針對郵件內容、附件內容等重要欄位，去進行條件比對。我們看到其中最大的差異，在於稽核條件設定時的難易度。

以稽核條件來看，各家都有個人資料相關的條件，像身分證字號、住址、電話，以至於銀行帳號、信用卡號、護照號碼，都能夠進行資料比對。但在設定方面，則有明顯的差異。

例如，在設備上設定稽核條件時，除了能設置關鍵字外，通常還可以設定正規表示式，來比對有規則的字串，也就是像身分證字號、生日這類有規則性的資料。

而我們也發現到，廠商在實作上，通常會有2種做法，一種是將規則內建在設備，管理者只需勾選即可，但不能修改條件；另一種是建立成範本，並內建於系統中，但管理者能夠修改其中內容。

而此次測試設備中，碩琦與網擎則屬於前者──管理者不需要對條件進行太多的設定，只需要選擇即可；而基點、中華數位與桓基則屬於後者──雖能夠修改條件，但在設定上較前者複雜，需花時間熟悉。有的產品目前尚未將稽核條件內建在系統中，管理者需索取稽核樣版設定檔，匯入系統後才有（例如：桓基）。

前者在設定稽核條件時，管理者只需要選擇郵件欄位，並將所需要的稽核條件勾選及完成設定；而後者的介面，由於使用正規表示式，像基點是將稽核條件定義在郵件條件中，管理者在設定郵件政策時，就能夠選擇條件加入郵件政策中；但若像桓基僅提供樣版，管理者在稽核條件中要設定多規則時，則需自行複製正規表示式的條件，另行設定條件。

而稽核時除了能比對信件內容，大多設備也能夠掃描附件內容，像是微軟Office、PDF、TXT等檔案，都能夠掃描比對當中內容的字串。此外，它們也能夠設定將加密文件或壓縮檔阻擋下來，以及將壓縮檔解壓縮後，掃描裡面的檔案內容。

而稽核人員在審查信件的時候，除了能進到系統內直接稽核外，大多也都有通知信功能。稽核人員可以透過通知信內的連結，直接查看信件內容外，也能夠執行刪除、放行等稽核行為。而桓基還提供了連結時效的機制，當稽核信超過設定時間後，連結則會失效。

具備郵件備份及搜尋功能外，還能夠針對外部網路信箱郵件進行歸檔

除了網擎沒有後稽核功能外，其他4家都具備。後稽核功能主要分為郵件備份及歸檔搜尋，以郵件備份來說，管理者能夠設定將進出設備上的所有信件備份下來，並且能選擇郵件的寄送方向。而這種備份方式，每個設備都有具備。

但是像Journal（日誌）備份功能的話，則不是每臺設備都提供，有的需付費購買授權才能夠使用。將Journal納為內建功能的廠商有中華、桓基與碩琦，但用基點的產品時，則要購買Journaling模組授權，才能使用。

在後稽核部分，我們發現到中華數位的產品支援非常特別的網路信箱歸檔功能，它能夠將目前市面上較主流的網路信箱的郵件備份起來，支援的信箱有中華電信、雅虎、Hotmail等8家。但該功能需搭配交換器的Port Mirror功能，將整體網路流量複製一份到設備上，並使用Sniffer將符合信件備份下來。也因為這樣的機制，像Google這種使用HTTPS加密傳輸的網路信箱，目前則無法備份信件。

具備LDAP整合及防毒、防垃圾信功能外，也提供了交談記錄及ZIP加密等特殊功能

稽核設備除了前、後稽核功能外，大多也提供了LDAP整合與防毒、防垃圾信功能。

在LDAP整合方面，我們以Windows AD去測試，每家產品都能正常將帳號資料取出。在主要功能方面差異不大，在測試時，我們很驚訝地發現有些廠商在設定方面很貼心。像基點的設備在設定AD時，管理者選擇LDAP主機類型後，系統就會在欄位中填上對應的範本資料，像是Windows AD中的OU、DC等指令，方便管理者進行設定。

除此之外，還有看到中華數位的設備，它以AD同步的資料，所延伸出來的自動同步職稱設定。透過AD資料中的職稱，讓管理者在系統裡，直接將管理權限與職稱對應，讓管理者快速部屬管理者帳號。

在防毒、防垃圾信方面，大多廠商都是使用ClamAV這類免費的防毒引擎，並能讓企業選購其他廠商的防毒引擎。而防垃圾信則是提供灰名單、貝氏過濾法等基本功能。

我們在這次的測試中，發現到有些產品的功能很獨特，它們分別是用於查詢信件的交談記錄，以及寄送郵件時的ZIP加密功能。中華數位的交談記錄功能可以幫助管理者找尋信件，它能夠將信件前後相關的寄／收件人，所寄送的所有信件全部調閱出來。

而網擎的ZIP加密功能，則能夠設定條件加密郵件，並能夠選擇加密方式及密碼長度。當信件符合條件時，系統會自動將該信件加密成ZIP檔，並寄送密碼給寄件人，讓收件人與寄件人聯絡取得密碼，此舉目的是要確認信件的收件人為本人。

如何測試郵件稽核設備

由於我們這次測試重點為郵件稽核設備的前稽核功能，所以我們準備了微軟Exchange Server作為郵件伺服器，以及Windows AD環境，來測試設備是否能夠透過稽核條件，將具機敏資料的郵件給阻擋下來。

我們在iThome的環境中，讓個人端電腦透過Outlook收發郵件。而我們準備的樣本共分為兩類，一類是在郵件內容加上機敏資料，另一類則是將機敏資料以DOC、XLS、PPT、TXT的檔案形式，將附件夾帶在信件中寄送。而在附件方面，還執行了副檔名格式真偽的測試，我們將具內容的TXT檔，以改附檔名的方式轉成MP3、JPG來寄送。

郵件稽核條件已納入個人資料的保護

此為碩琦的郵件稽核產品在設定稽核條件頁面中的方塊，管理者只需選擇稽核的欄位，以及比對資料類型，並勾選需要稽核的資料內容，就就完成稽核條件設定。

有些郵件稽核設備提供加密功能

此為網擎郵件稽核產品的ZIP加密功能，它能夠設定郵件的加密類型、加密範圍，以及密碼長度。只要信件符合條件，系統就會加密信件寄出，並將密碼寄送給寄件人，讓收件人主動與寄件人聯繫並取得密碼。

相關報導請參考「郵件稽核設備採購大特輯」